一、測試環境介紹

● 作業系統:Windows 7 Ultimate x86(VMware Workstation 12 Player)
● 使用者帳戶控制(UAC):系統預設值

● 系統還原與系統保護:開啟

二、測試項目介紹

① 拒絕資料夾寫入權限:拒絕資料夾寫入權限以協助檔案免於遭病毒變更或覆寫
● 透過指派 Administrators 拒絕資料夾寫入之權限,以防止勒索病毒藉由使用者或群組對某資料夾及其檔案執行變更或覆寫等特定之動作,來協助保護該資料夾。

② 隱藏磁碟機代號:暫時移除特定的磁碟機代號以協助保護檔案
● 在 Windows 系統中如果某個磁碟機沒有被分配到磁碟機代號的話,該磁碟機就無法被使用。故此方法並非單純隱藏磁碟機代號而已,更直接限制了磁碟機存取的功能。若要磁碟機恢復使用,只需於被隱藏的磁碟分割區上再新增一次磁碟機代號即可。

③ BitLocker 磁碟機加密:透過內建的 BitLocker 功能加密磁碟機以協助保護檔案
● 透過 BitLocker 磁碟機加密,需經過特定授權才能存取該磁碟機。BitLocker 磁碟機加密功能僅提供 Windows 7 企業版/旗艦版以上系統使用。該功能主要用於保護硬碟與卸除式磁碟機,避免因為遺失或遭竊而導致重要資料失竊或是被有心人士利用。

④ 系統還原救援:確保執行病毒前有可用之還原點,測試系統還原能否救回失去的檔案
● 系統還原可協助將電腦還原到較早的時間點,其中系統保護功能會定期建立及儲存電腦系統檔與用戶所修改之舊版檔案內容,並自動將這些副本儲存於還原點中;當檔案或資料夾不慎遭修改、刪除或損毀時,便可利用還原點還原至先前之檔案內容。

三、勒索病毒測試
壹、CryptoWall 4.0


● 中毒特徵:病毒執行後使用者帳戶控制(UAC)無警示;檔案若不幸遭加密,則檔案名稱連同副檔名皆變為隨機亂碼。

● 勒贖畫面:

拒絕資料夾寫入權限能否預防勒索病毒 CryptoWall 4.0? ☑
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 CryptoWall 4.0? ☑
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 CryptoWall 4.0? ☑
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

說明:使用 BitLocker 磁碟機加密保護狀態下(金色鎖頭)需經過授權才能存取該磁碟機,可以有效預防勒索病毒;但若病毒執行當下處於解除鎖定狀態(銀色鎖頭)則磁碟機內檔案仍會遭病毒加密。

系統還原能否救回失去的檔案? ☑
● 於被加密檔案資料夾按右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。

說明:系統還原救得回來的不是被 RSA 加密演算法加密後的檔案,而是被病毒刪除的原始檔。勒索病毒加密過程大致上是 加密原始檔→刪除原始檔,為避免受害者以系統還原恢復失去的檔案,勒索病毒勢必將破壞系統快照備份。經實測若於手動關閉使用者帳戶控制(UAC)情況下執行 CryptoWall,先前建立之系統還原確實會遭其刪除。

貳、Crypt0L0cker


● 中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇允許,則系統還原遭病毒刪除。檔案若不幸遭加密,則副檔名變為 .encrypted。

說明:由此得知,病毒加密行為這個動作並不會觸發使用者帳戶控制(UAC)。

● 勒贖畫面:

拒絕資料夾寫入權限能否預防勒索病毒 Crypt0L0cker? ☑
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 Crypt0L0cker? ☑
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 Crypt0L0cker? ☑
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

系統還原能否救回失去的檔案? ☑
● 若使用者帳戶控制(UAC)詢問視窗選擇允許,則還原點將遭刪除而無法還原;若皆選擇否,試於被加密檔案資料夾按滑鼠右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。

參、TeslaCrypt 2.2.0


● 中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇允許,則系統還原遭病毒刪除。檔案若不幸遭加密,則檔案副檔名變為 .vvv。

說明:由此得知,病毒加密行為這個動作並不會觸發使用者帳戶控制(UAC)。

● 勒贖畫面:

拒絕資料夾寫入權限能否預防勒索病毒 TeslaCrypt 2.2.0? ☑
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 TeslaCrypt 2.2.0? ☑
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 TeslaCrypt 2.2.0? ☑
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

系統還原能否救回失去的檔案? ☑
● 若使用者帳戶控制(UAC)詢問視窗選擇允許,則還原點將遭刪除而無法還原;若皆選擇否,試於被加密檔案資料夾按滑鼠右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。

說明:勒索病毒有不少方法可以快速刪除系統還原和磁碟機現存的快照備份,其中最普遍的方式便是執行 “vssadmin.exe Delete Shadows /All /Quiet” 指令。由於這個程序需要管理員權限才能夠實際運行,因此使用者帳戶控制(UAC)會立即跳出權限存取的選項視窗。

四、結論與建議

● 由於勒索病毒種類、變種繁多,本測試結果不保證適用其他新的勒索病毒。

● 使用者帳戶控制(UAC)不被繞過的情況下,系統還原可以恢復遭勒索病毒刪除的原始檔案。因此建議儘可能每個磁碟機都開啟,因為通常重要的文件、影片和照片往往習慣放在系統槽以外的地方。

更新1:針對上述兩項結論,目前手邊有拿到一隻 TeslaCrypt(https://www.virustotal.com/zh-tw/file/…./analysis/1461483649/),執行後檔案被加密,且使用者帳戶控制(UAC)完全不會有警示,系統還原直接遭到刪除。將 Win7 使用者帳戶控制(UAC)調至最高後再執行病毒測試,然而系統還原還是遭到刪除,使用者帳戶控制(UAC)依舊無警示。

更新2:老實說我對這隻病毒還蠻在意的,於是又拿來 Win10 環境下測試,使用者帳戶控制(UAC)同樣是使用系統預設值,然而 Win10 的 UAC 攔截了。我不知道這可不可以用來說明 Win10 比 Win7 更安全,但就這次結論而言 Win7 的 UAC 確實被該病毒 bypass。

● 欲預防勒索病毒綁架特定檔案資料夾,拒絕資料夾寫入權限可以限制病毒變更或覆寫檔案之內容。

● 欲預防勒索病毒綁架特定磁碟機,移除磁碟機代號、BitLocker 磁碟機加密兩者皆可禁止病毒存取該磁碟機以協助保護檔案。