동료 중 한 명이 오늘 그의 컴퓨터에 랜섬웨어를 설치했습니다 (바이러스 백신 프로그램이 도움이되지 못했습니다). 모든 문서 파일은 암호화되어 영원히 사라진 것으로 간주됩니다.
따라서 특정 명령 줄 만있는 특정 프로세스 에 특정 파일 형식 의 파일 액세스 권한을 부여하여 랜섬웨어를 방지 할 수 있습니까? 그런 다음 악성 프로그램이 컴퓨터에 침입하면 권한이 없어 파일을 암호화하지 못할 수 있습니까?
예를 들어 : DOCX 파일 형식의 경우 경로가 C : \ Program Files \ Microsoft Office \ Office15 \ WINWORD.EXE 인 프로세스 만이 파일 형식 을 열 수 있습니다 (아마도 EXE 파일의 서명, 해시 값 등을 확인하여 확인). 프로세스는 실제로 진짜입니다)
이것이 기술적으로 가능한지 아닌지 말해 줄 수 있습니까? 아니면 다른 바보 같은 아이디어가 무엇인지 설명 해주십시오.
답변
Windows는 프로세스 ID 또는 확장자 이름이 아닌 사용자 이름을 기반으로 파일 액세스 권한을 저장합니다.
성공하려면 표준 사용자로 실행 하고 제한된 시간 동안 수동으로 실행 권한이 필요합니다.
나는 완전성을 위해 그리고 프로세스가 얼마나 많은 시간이 걸리고 / 성취적인지를 설명하기 위해 아래를 포함한다.
할 수있는 가장 중요한 것은 다음과 같습니다. 1. 표준 / 제한된 사용자로 실행합니다. 2. 새 관리자 계정을 만듭니다. 3. 모든 사용자 파일에 대해 해당 계정으로 소유권을 변경하고 파일에 대한 쓰기 권한이있는 유일한 계정인지 확인합니다. 관리자, 관리자 및 SYSTEM을 제거하거나 파일을 읽기 전용으로 만드십시오.
- 프로그램을 실행할 때 마우스 오른쪽 단추를 클릭하고 새 사용자를 “다음 계정으로 실행”으로 이동하십시오.
위의 과정은 너무 지루하여이 과정을 시작한 사람은 며칠 내에 포기할 것입니다.
사용자에 따라 작동하거나 작동하지 않을 수있는 대체 방법. Windows에는 실행할 프로그램에 대한 해시가 포함 된 화이트리스트를 만들 수 있습니다. 그러나 모든 유효한 EXE가 개별적으로 나열되어야하므로 설정하는 데 시간이 오래 걸립니다.
실행 대화 상자에 secpol.msc를 입력하고 응용 프로그램 제어 정책 으로 이동 한 다음 AppLocker 및 실행 가능 규칙으로 이동하여 편집기를 시작하십시오.
마우스 오른쪽 단추를 클릭하고 실행 가능 규칙 작성 및 다음을 클릭 한 후 허용 할 사용자를 선택하십시오. 그런 다음 해시 파일 및 다음 다음 파일 찾아보기를 한 번에 각 프로그램을 설정합니다. 다음 을 클릭 하거나 이름 만들기를 클릭하여 이름과 설명을 제공 할 수 있습니다 .
나중에 삭제하는 데 사용할 기본 규칙을 작성하려면 (임시) 예 라고 말합니다 . 시스템이 없으면 시스템을 사용할 수 없게됩니다.
Windows 폴더와 Program Files 및 Program Files (x86)에 모든 가능한 EXE를 나열한 후 작업이 시작됩니다.
Windows Installer 규칙 , 스크립트 규칙 및 패키지 된 앱 규칙에 대해 수동 규칙을 수행해야하는 영역이 3 개 더 있습니다 .
1000 개의 규칙이 아닌 경우 수동으로 100을 만들었으므로 기본 권한을 삭제할 수 있습니다.
거부하려면 목록 끝에 규칙을 추가해야합니다 . 각 카테고리의 모든 사용자에 대해
불량 소프트웨어는 기본 규칙을 쉽게 남용 할 수 있으므로 프로세스를 완료 한 후에는 삭제해야합니다.
그러나 Windows Update 와 같은 제품 업데이트 가있는 경우 해시를 다시 실행해야합니다.
이 프로세스는 효과가있을 수 있지만 설정 작업은 너무 압도적이어서 제정신의 사람은 시도하거나 유지하지 않습니다.
답변
가장 간단한 해결책은 다른 로컬 사용자 (예 : LOCAL \ OfficeUser)를 만든 다음 LOCAL \ OfficeUser에 대해서만 Office 파일에 대한 모든 액세스 권한을 설정하고 Word 바로 가기를이 LOCAL \ OfficeUser에서 “다음 계정으로 실행”으로 설정하는 것입니다. 표준 사용자 계정이있는 랜섬웨어는 Office 파일에 액세스 할 수 없지만 LOCAL \ OfficeUser로 시작한 Word는 Office 파일 작업에 대한 모든 권한을 갖습니다.) …
답변
파일 연결과 파일 사용 권한이 혼동되고 있습니다. 파일 연결은 응용 프로그램 에서 사용할 파일을 열 수있는 응용 프로그램을 OS에 알려줍니다 . 파일 권한은 파일 시스템 수준의 사용자 에게 부여되며 읽기 / 쓰기 / 수정 / 삭제 및 기타 몇 가지 범주를 위해 파일에 대한 액세스를 허용 / 거부합니다.
Ransomware는 Word 파일을 암호화하기 위해 MS Word와 같은 응용 프로그램을 열 필요가 없습니다. 파일 시스템 권한 만 있으면 액세스 할 수 있습니다. Ransomware는 현재 사용자의 파일 시스템 권한을 사용하여 파일을 읽고 고유 한 방법으로 파일을 암호화 한 다음 파일을 하드 드라이브에 다시 씁니다. 랜섬웨어는 해당 사용자의 파일 권한을 사용하여 로컬 하드 드라이브에 액세스하고 네트워크 리소스를 검사하여 컴퓨터와 네트워크의 데이터를 암호화합니다. 사용자가 컴퓨터 또는 네트워크의 관리자가 아니더라도 해당 사용자의 파일 및 네트워크 액세스 권한은 네트워크의 모든 데이터에 대한 랜섬웨어 액세스를 제공 할 수 있습니다.
랜섬웨어 개발자의 자비에 따라 백업이없는 경우 이러한 유형의 맬웨어는 매우 파괴적 일 수 있습니다. 백업이 양호하면 모든 데이터를 랜섬웨어 이전 상태로 복원 할 수 있기를 바랍니다.