Предотвратить вымогателей путем предоставления разрешения доступа к файлу для определенных процессов?

Question

Один из моих коллег получил сегодня на своем компьютере вымогателей (антивирусная программа не помогла). Все файлы документов были зашифрованы и считаются утерянными навсегда.

Итак, можно ли предотвратить вымогательство, предоставив права доступа к файлам определенных типов файлов только определенным процессам только с определенными командными строками? Затем, когда вредоносная программа попадает в компьютер, она не может зашифровать файлы из-за отсутствия разрешений?

Например: для типа файла DOCX только процесс с путем C:\Program Files\Microsoft Office\Office15\WINWORD.EXE может открыть этот тип файла (возможно, даже проверяя подпись EXE-файла, хэш-значение .. и т.д., Чтобы убедиться, что процесс на самом деле подлинный)

Кто-нибудь может сказать мне, если это технически возможно или нет, или в другом случае, пожалуйста, объясните мне, почему это просто еще одна глупая идея?

Answer 1

Windows хранит права доступа к файлу на основе имени пользователя, а не идентификатора процесса или имени расширения.

Для того, чтобы любой из них был успешным, нужно работать в качестве обычного пользователя и вручную запускать в течение ограниченного времени, требуются права администратора.

Я включаю ниже для полноты и чтобы продемонстрировать, как много времени / ужасно процессы.

Шкаф, который вы могли бы сделать, это:1. Запустите как Стандартный / Ограниченный пользователь. 2. Создать новую учетную запись администратора 3. Измените право собственности на эту учетную запись для всех файлов пользователей и убедитесь, что это единственная учетная запись, которая имеет разрешения на запись в файлы. Обязательно удалите Administrator, Administrators и SYSTEM или сделайте файл доступным только для чтения.

4. Shift Правой кнопкой мыши и "Запуск от имени" новых пользователей при попытке запустить любую программу.

Вышеуказанный процесс настолько утомителен, что любой, кто начнет этот процесс, сдастся в течение нескольких дней.

Альтернативный подход, который может или не может работать в зависимости от пользователя. В Windows есть возможность создавать белый список с хэшами для программ, которые будут запускаться. Однако настройка займет много времени, так как каждый действительный EXE должен быть указан в отдельности.

Запустите редактор, набрав secpol.msc в диалоге запуска и перейдя к Политике управления приложениями, а затем к AppLocker и Исполняемым правилам.

Щелкните правой кнопкой мыши и создайте исполняемые правила и нажмите Далее и выберите пользователей, которых вы хотите разрешить. Затем File Hash и Next, затем Browse Files и установите каждую программу по одному. Вы можете дать ему имя и комментарий, нажав Далее или просто нажав Создать.

Скажите (временно) « Да», чтобы создать правила по умолчанию для последующего удаления. Система станет непригодной для использования без них.

После перечисления всех мыслимых EXE- файлов в папке Windows и Program Files и Program Files(x86) ваша работа только начинается.

Есть еще 3 области, в которых необходимо выполнить ручные правила для правил установщика Windows, правил сценариев и правил упакованного приложения.

Теперь, когда вы вручную создали 100, если не 1000 правил, вы можете удалить разрешения по умолчанию.

Вам нужно добавить правило в конец списка, чтобы отказать . для всех пользователей для каждой категории.

Плохое программное обеспечение может легко злоупотреблять правилами по умолчанию, поэтому после завершения процесса их необходимо удалить.

Однако, если будет какое-либо обновление продукта, такое как Центр обновления Windows, хэши придется переделывать.

Этот процесс может работать, но работа по настройке настолько подавляющая, что ни один здравомыслящий человек не попытается и не поддержит его.

Answer 2

Самое простое решение - сделать другого локального пользователя, например, LOCAL\OfficeUser, а затем установить полный доступ к файлам Office только для LOCAL\OfficeUser и установить для ярлыка Word значение "Запуск от имени" этого LOCAL\OfficeUser. Ransomware со стандартной учетной записью пользователя не будет иметь доступа к файлам Office, но Word, запущенный как LOCAL\OfficeUser, будет иметь полное разрешение для работы с файлами Office;) ...

Answer 3

Вы путаете ассоциацию файлов и права доступа к файлам. Файловые ассоциации сообщают ОС, какое приложение может открыть файл для использования. Права доступа к файлам предоставляются пользователям на уровне файловой системы и разрешают / запрещают доступ к файлу для чтения / записи / изменения / удаления и некоторых других категорий.

Ransomware не нужно открывать приложение (например, MS Word) для шифрования файла Word. Все, что ему нужно, - это права доступа к файловой системе. Ransomware использует разрешения файловой системы текущего пользователя, чтобы прочитать файл, зашифровать его, используя свои собственные методы, а затем записать файл обратно на жесткий диск. Ransomware будет использовать файловые разрешения этого пользователя для доступа к локальному жесткому диску, а также для проверки сетевых ресурсов, чтобы зашифровать данные на компьютере и в сети. Даже если пользователь не является администратором машины или сети, права доступа к файлам и сети этого пользователя могут предоставить вымогателю доступ к данным по всей сети.

Этот тип вредоносного ПО может быть очень разрушительным, если у вас нет резервных копий, как вы любите разработчиков вымогателей. Если у вас есть хорошие резервные копии, вы можете восстановить все ваши данные до состояния вымогателей.