書き込みアクセスを拒否することは、ランサムウェアを阻止する効果的な方法ですか?
ランサムウェアから身を守る方法を探しています。
この戦略の一環として、できるだけ多くの場所(およびファイル)への書き込みをブロックするというアイデアを思いつきました。
アクティブユーザーは常にWindows 10で(管理者としてではなく)標準のローカルユーザーとしてログインしており、NTFSのセキュリティ機能を使用して書き込みアクセスがそのユーザーに対して明示的に拒否されていると想定される場合があります。
NTFSの「書き込み禁止」機能は、ランサムウェアの暗号化およびによる保護されたフォルダーとファイルの削除を効果的に停止しますか?
またはよりよく定式化:
ランサムウェアから(詳細に)防御するためにNTFSファイルとフォルダのアクセス許可を変更して変更することは価値がありますか?
ボーナス質問:
通常管理者としてログインしている場合、何が変わりますか?
できる?はい、できます。
それは価値がある?私は疑う。
効果的ですか?おそらく、そうではないでしょう。
通常のユーザーアカウントを使用してフォルダーを読み取り専用に設定すると、ランサムウェアはフォルダーを読み取り/書き込みに戻し、ファイルを暗号化できます。読み取り専用フォルダは、何かを保存するたびに邪魔になります。
そのために管理者アカウントを使用する場合は、保護されたフォルダーに何かを保存するたびに、昇格したWindowsエクスプローラーを起動する必要があります。また、書き込み後に読み取り専用に戻すことを忘れがちです。
ランサムウェアを防ぐために制限されたシステムに身を置くつもりなら、承認されたプログラムの実行のみを許可する Windows Application Whitelisting を実装します。リストに追加しないランサムウェアは実行されません。
「この戦略の一環として、できるだけ多くの場所(およびファイル)への書き込みをブロックするというアイデアを思いつきました。」
多くの場所への書き込みアクセスの必要性を考慮して戦略を変更するなら、それは価値があると私は信じています。
ロケーションの使用を妨げる可能性があるため、できるだけ多くのロケーションを書き込むことをブロックしない方が現実的かもしれません。代わりに、バックアップ場所への書き込みのみをブロックすることができます。
これを適用するには、次のようにします。
- バックアップソフトウェアを管理者としてバックグラウンドで定期的かつ自動的に実行するようにスケジュールします。
- 悪意のある上書きに対する予防策として、バックアップソフトウェアをセットアップして増分バックアップを作成します。
- ローカルバックアップの場所への書き込みアクセス権を管理者にのみ与え、自分を含む他のすべてのユーザーを制限します。
- 管理ジョブ以外の目的で管理者アカウントを使用してコンピューターを使用しないでください。また、可能であれば、そのような時間帯はオフラインにしてください。
もちろん、他の回答へのコメントで言及されているように、「完全にパッチが適用されたOS、完全にパッチが適用されたAV、高頻度のオフラインバックアップ、高頻度のオフサイトバックアップに加えて、常にこの戦略を採用することをお勧めします。 。
ランサムウェアがWindowsにインストールされる場所は無数にあります。
例えば:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:ランサムウェアを起動し、ポリシーを使用してタスクマネージャー(CTRL + ALT + DEL)を無効にし(1でHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgrを設定)、自分自身をフルスクリーンモードで表示します。HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonここでuserinitを偽装すると、winlogonが起動します。HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\:userinitまたはwinlogonまたはExplorerがプロセスとともにロードされるためのランサムウェアDLLを追加する場合があります。このHiveはデバッガー用に作成されましたが、ランサムウェアによって使用される可能性があります。
レジストリをクリーンアップしても、マルウェアは次のことができます。
- グループポリシー(物理的には
%SYSTEMROOT%\System32\GroupPolicyに格納されています)を使用してレジストリを更新し、自分自身を再度追加します HKLM\SYSTEM\CurrentControlSet\Control\Session ManagerのautochkキーのBootExecuteの直後に(またはパッチを適用して)自分自身を追加します(別のコントロールセットも更新される可能性があります)。
したがって、質問を理解する:NTFSアクセス許可はランサムウェアとは何の関係もありません。 (%TEMP%を含む)任意の場所にインストールしてから、レジストリにリンクを追加できます。
理論的には、ここで言及したレジストリハイブへのユーザーの書き込みを拒否することを試みてもかまいませんが、リストは完全ではありません。私は知らないレジストリにたくさんの場所があると確信しています。
自分を守るには、次のようにします。
- 通常のユーザーアカウントを使用し、「Administrators」グループに追加する代わりに特権を使用してみてください( https://msdn.Microsoft.com/en-us/library/windows/desktop/aa379306(v = vs.85 ).aspx )
- UACを使用する
- ウイルス対策を使用し、常にOSの最新のアップデートをインストールしてください:)