Negare l'accesso in scrittura è un modo efficace per fermare il ransomware?

Naviga le tue risposte
10

Sto cercando modi per difendermi dal ransomware.
Come parte di questa strategia mi è venuta l'idea di impedirmi di scrivere sul maggior numero possibile di posizioni (e file).

Si può presumere che l'utente attivo sia sempre loggato come utente standard, locale (non come amministratore) su Windows 10 e che l'accesso in scrittura sia negato in modo specifico a quell'utente, utilizzando le funzionalità di sicurezza di NTFS.

La funzionalità "disallow write" di NTFS impedisce effettivamente il ransomware di crittografare e eliminando le cartelle ei file protetti?

O meglio formulato:

Vale la pena di disturbare e modificare le autorizzazioni di accesso ai file e alle cartelle NTFS per difendere (in profondità) contro ransomware?

Domanda bonus:

Cosa cambia se di solito accedi come amministratore?

    
posta SEJPM 03.03.2016 - 11:59
fonte

3 risposte

3

Può essere fatto? Sì, può.

Vale la pena? Dubito.

È efficace? Probabilmente, probabilmente no.

Se si imposta la cartella come di sola lettura utilizzando il normale account utente, il ransomware può ripristinarlo in lettura-scrittura e crittografare i propri file. Le cartelle di sola lettura saranno sulla tua strada ogni volta che vuoi salvare qualcosa.

Se si utilizza l'account amministratore per farlo, è necessario avviare un Esplora risorse elevato ogni volta che si desidera salvare qualcosa nelle cartelle protette. Ed è facile dimenticare di riportarlo in sola lettura dopo la scrittura.

Se hai intenzione di metterti su un sistema limitato per prevenire il ransomware, implementa Whitelist delle applicazioni Windows per consentire solo l'esecuzione di programmi approvati. Qualsiasi ransomware che non aggiungi all'elenco non verrà eseguito.

    
risposta data 03.03.2016 - 15:32
fonte
2

"As part of this strategy I've come up with the idea to block myself from writing to as many locations (and files) as possible."

Ne vale la pena, credo, se cambi la tua strategia considerando il tuo accesso in scrittura necessario in molte località.

Potrebbe essere più pratico non impedirti di scrivere il maggior numero di posizioni possibili in quanto ciò potrebbe ostacolare l'utilizzo delle tue sedi. Invece, puoi bloccare la scrittura solo nella posizione di backup.

Puoi applicare questo facendo quanto segue:

  1. Pianifica il tuo software di backup da eseguire come amministratore in background, regolarmente e automaticamente.
  2. Imposta il tuo software di backup per eseguire backup incrementali, come precauzione contro la sovrascrittura dannosa.
  3. Fornisci l'accesso in scrittura della posizione di backup locale solo all'amministratore, limita tutti gli altri utenti, incluso te stesso.
  4. Non utilizzare mai il computer con account amministratore per operazioni diverse dai lavori amministrativi e, se possibile, restare offline durante tali periodi.

Naturalmente, è sempre meglio adattare questa strategia oltre a " sistema operativo completamente patchato, AV completamente cerchiato, backup offline ad alta frequenza e backup off-site ad alta frequenza " come menzionato nei commenti ad altre risposte.

    
risposta data 15.03.2016 - 11:24
fonte
0

Ci sono un numero infinito di posti in cui ransomware si può installare da solo in Windows.

Ad esempio:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : si può avviare ransomware e quindi disabilitare task manager (CTRL + ALT + CANC) con criterio (imposta 1 in HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr ) e visualizzarsi in modalità schermo intero.

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon uno può simulare userinit qui e winlogon lo lancia.

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ : può aggiungere ransomware dll per userinit o winlogon o explorer per essere caricato con il processo. Questo hive è stato creato per i debugger, ma può essere utilizzato da ransomware.

Anche se pulisci il registro, il malware può:

  • Utilizza i criteri di gruppo (memorizzati fisicamente in %SYSTEMROOT%\System32\GroupPolicy ) per aggiornare il registro e aggiungersi di nuovo lì
  • Si aggiunge subito dopo autochk (o anche patch!) in BootExecute key in HKLM\SYSTEM\CurrentControlSet\Control\Session Manager (potrebbe aggiornare anche un altro set di controlli), quindi verrà lanciato all'inizio della fase di avvio e installato da qualche parte.

Quindi, per quanto riguarda la tua domanda: le autorizzazioni NTFS non hanno nulla a che fare con il ransomware. Mi può installare ovunque (incluso %TEMP% ) e quindi aggiungere il link nel registro.

In teoria, potresti provare a smettere di negare che il tuo utente scriva agli alveari del registro che ho menzionato qui, ma l'elenco non è completo. Sono sicuro che ci sono molti posti nel registro di cui non conosco.

Per proteggersi, fai quanto segue:

  • Utilizza un account utente regolare, prova a utilizzare i privilegi anziché aggiungerlo al gruppo "Amministratori" ( link )
  • Utilizza UAC
  • Utilizza l'antivirus e installa sempre gli ultimi aggiornamenti per il tuo sistema operativo:)
risposta data 03.03.2016 - 14:54
fonte

Leggi altre domande sui tag

In che modo le nuove tecniche / protocolli di sicurezza e crittografia evitano il problema dell'uovo e dell'uovo? Access-control-allow-origin: * con un token al portatore