Evita o ransomware concedendo permissão de acesso a arquivos para determinados processos?

Navegue suas respostas
0

Um de meus colegas de trabalho recebeu ransomware em seu computador hoje (o programa antivírus não ajudou). Todos os arquivos de documentos foram criptografados e considerados para sempre.

Então, o ransomware poderia ser impedido concedendo permissão de acesso a arquivos de certos tipos de arquivos para certos processos com apenas linhas de comando? Então, quando o programa malicioso entrar no computador, pode não conseguir criptografar os arquivos por falta de permissões?

Por exemplo: Para o tipo de arquivo DOCX, somente o processo com o caminho C: \ Arquivos de Programas \ Microsoft Office \ Office15 \ WINWORD.EXE pode abrir esse tipo de arquivo (talvez até verificando os arquivos EXE signature, hash value..etc para verificar se o processo é realmente genuíno)

Alguém pode me dizer se isso é tecnicamente possível ou não, ou em outro caso, por favor, me explique por que é apenas mais uma idéia idiota?

    
por Teiv 07.09.2015 / 20:17

3 respostas

1

O Windows armazena permissões de acesso a arquivos com base no nome de usuário e não no ID do processo ou no nome da extensão.

Para ser bem-sucedido, é necessário executá-lo como usuário padrão e, manualmente, Executar como para o período de tempo limitado.

Eu incluo o abaixo para completar e para demonstrar como os processos são demorados / terríveis.

A coisa do armário que você pode fazer é esta: 1. Executar como um usuário padrão / limitado. 2. Crie uma nova conta de administrador 3. Altere a propriedade para essa conta para todos os arquivos de usuários e verifique se é a única conta que tem permissões para gravar nos arquivos. Certifique-se de remover Administrador, Administradores e SISTEMA ou tornar o arquivo somente leitura para eles.

  1. Shift Clique com o botão direito e "Executar como" os novos usuários ao tentar executar qualquer programa.

O processo acima é tão entediante que qualquer um que inicie esse processo desistirá em poucos dias.

Uma abordagem alternativa que pode ou não funcionar dependendo do usuário. O Windows tem a capacidade de criar uma lista de desbloqueio com hash para programas que serão executados. No entanto, a configuração demorará muito tempo, já que todos os EXE válidos deverão ser listados individualmente.

Inicie o editor digitando secpol.msc no diálogo de execução e navegando até Políticas de controle de aplicativos e, em seguida, AppLocker e Regras executáveis

Clique com o botão direito e Criar regras executáveis e Próximo e selecione os usuários que você deseja permitir. Então, Arquivo Hash e Próximo , em seguida, Navegue pelos Arquivos e defina cada programa, um de cada vez. Você pode dar um nome e um comentário clicando em Próximo ou apenas clicando em Criar .

Diga (temporariamente) Sim para criar as regras padrão para uso posterior. O sistema ficará inutilizável sem eles.

Após listar todos os EXE concebíveis na pasta Windows e Arquivos de Programas e Arquivos de Programas (x86) , seu trabalho está apenas começando.

Existem mais três áreas nas quais você precisa executar regras manuais para Regras do Windows Installer , Regras de script e Regras de aplicativos em pacote . p>

Agora que você criou manualmente 100 se não milhares de regras manualmente, você pode excluir as permissões padrão.

Você precisa adicionar uma regra ao final da lista para negar . para todos os usuários de cada categoria.

Softwares ruins podem facilmente violar as regras padrão, portanto, depois de concluir o processo, eles precisam ser excluídos.

No entanto, se alguma vez houver uma atualização do produto, como o Windows Update , os hashes precisarão ser refeitos.

Esse processo pode funcionar, mas o trabalho de configuração é tão avassalador que nenhuma pessoa sã tentará ou manterá.

    
por 08.09.2015 / 04:30
1

A solução mais simples é tornar outro usuário local, por exemplo, LOCAL \ OfficeUser e, em seguida, definir acesso total aos arquivos do Office somente para LOCAL \ OfficeUser e definir o atalho do Word como "Executar como" este LOCAL \ OfficeUser. O ransomware com sua conta de usuário padrão não terá acesso aos seus arquivos do Office, mas o Word será iniciado quando LOCAL \ OfficeUser terá permissão total para trabalhar com seus arquivos do Office;) ...

    
por 15.01.2017 / 21:15
0

Você está confundindo as permissões de associação e arquivo de arquivos. Associações de arquivos informam ao SO o que aplicativo pode abrir um arquivo para uso. As permissões de arquivo são concedidas a usuários no nível do sistema de arquivos e permitem / negam acesso a um arquivo para leitura / gravação / modificação / exclusão e algumas outras categorias.

O Ransomware não precisa abrir um aplicativo (como o MS Word) para criptografar seu arquivo do Word. Tudo o que precisa é das permissões do sistema de arquivos para acessá-lo. O Ransomware usa as permissões atuais do sistema de arquivos usuário para ler o arquivo, criptografá-lo usando seus próprios métodos e, em seguida, gravar o arquivo no disco rígido. O Ransomware usará as permissões de arquivo desse usuário para acessar o disco rígido local, além de investigar recursos em rede, para criptografar dados na máquina e pela rede. Mesmo que o usuário não seja um administrador da máquina ou da rede, o arquivo desse usuário e as permissões de acesso à rede podem fornecer ao ransomware acesso a dados em toda a rede.

Esse tipo de malware pode ser muito destrutivo se você não tiver backups, pois você está com a misericórdia dos desenvolvedores de ransomware. Se você tiver bons backups, esperamos poder restaurar todos os seus dados para estados pré-ransomware.

    
por 07.09.2015 / 20:33

Tags

Rechamada de formatação da célula do Excel Tendo problemas ao passar aspas duplas para o diálogo