Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Atak_Snajpera

[Poradnik] Jak zabezpieczyć pliki przed ransomware/cryptolockerami

Rekomendowane odpowiedzi

Siłą Ransomware/Cryptolocker'ów jest to że do swoich niecnych celów nie potrzebują uprawnień administratora. Do podmiany plików użytkownika jpg , mp3 , .doc wystarczą standardowe uprawnienia użytkownika.

Jest to główny powód dlaczego tak łatwo i praktycznie niepostrzeżenie można pozbawić się dostępu do własnych plików. Domyślne zastosowane ustawienia windowsa ,które ukrywają znane rozszeżenia w explorerze jeszcze tylko ułatwiają życie twórcom ransomware. Taki przykładowo plik faktura.doc.exe będzie widoczny jako poprostu faktura.doc. Wystarczy jeszcze tylko podmienić ikonkę w pliku wykonywalnym na tą ,która jest używana przez Worda aby całkowicie zmylić większość użytkowników. Jeden klik za dużo i już jest po naszych zdjęciach/filmach z wakacji.

 

 

Metoda tutaj zastosowana polega na ograniczniu uprawnień dotyczących zapisu tylko do grupy administratorów.

 

Uruchomiamy konsolę (cmd.exe) jako administrator (Run as Administrator).

 

ZUXzZD.png

 

Pierwsze co trzeba zrobić to zmienić właściciela naszego chronionego folderu na Administrator

 

takeown /f "[ścieżka_do_folderu]" /R /A /D y

 

Kolejny krok to dodanie pełnych uprawnień (opcja F) dla grupy Administrators. SID S-1-5-32-544 oznacza Administrators.

Więcej informacji na temat znanych identyfikatorów sid tutaj https://support.microsoft.com/en-us/kb/243330

 

icacls "[ścieżka_do_folderu]" /T /C /Q /grant:R *S-1-5-32-544:(OI)(CI)F

 

Następnie dodajemy grupę Users i ograniczamy im dostęp tylko do "Read & Execute" (opcja RX). SID S-1-5-32-545 = Users

 

icacls "[ścieżka_do_folderu]" /T /C /Q /grant:R *S-1-5-32-545:(OI)(CI)RX

 

Ostatni krok to usunięcie wszystkich wcześniej odziedziczonych zezwoleń.

 

icacls "[ścieżka_do_folderu]" /T /C /Q /inheritance:r

 

Po wszystkim zakładka Security naszego folderu powinna zawierać tylko dwie grupy

9JzjOQ.png

 

Od teraz jakakolwiek próba zapisu/usunięcia z poziomu użytkownika będzie zablokowana.

HWxRzH.png

 

Zapis będzie możliwy dopiero po zwiększeniu uprawnień dla danej aplikacji (konieczność zatwierdzenia przez użytkownika okienka UAC). W tym przypadku użytkownik musiałby uruchomić cmd.exe jako administrator aby usunąć plik.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...