¿Está negando el acceso de escritura una forma efectiva de detener el ransomware?

Navega tus respuestas
10

Estoy buscando formas de defenderse contra el ransomware.
Como parte de esta estrategia, se me ocurrió la idea de no escribir en tantos lugares (y archivos) como sea posible.

Se puede suponer que el usuario activo siempre inicia sesión como usuario local estándar (no como administrador) en Windows 10 y que el acceso de escritura se deniega específicamente a ese usuario, utilizando las funciones de seguridad de NTFS.

¿La función de "no permitir escritura" de NTFS impide que el ransomware encripte y elimine las carpetas y archivos protegidos?

O mejor formulado:

¿Vale la pena molestar y cambiar los permisos de acceso a carpetas y archivos NTFS para defenderse (en profundidad) contra el ransomware?

Pregunta de bonificación:

¿Qué cambia si usualmente estás conectado como administrador?

    
pregunta SEJPM 03.03.2016 - 11:59
fuente

3 respuestas

3

¿Se puede hacer? Sí, puede.

Vale la pena? Dudo.

Es efectivo? Probablemente, probablemente no.

Si configura la carpeta como de solo lectura con su cuenta de usuario normal, ransomware puede revertirla a lectura-escritura y cifrar sus archivos. Las carpetas de solo lectura estarán en tu camino cada vez que quieras guardar algo.

Si usa la cuenta de administrador para hacerlo, debe iniciar un Explorador de Windows elevado cada vez que quiera guardar algo en las carpetas protegidas. Y es fácil olvidarse de devolverlo a solo lectura después de escribir.

Si pretende ubicarse en un sistema restringido para prevenir el ransomware, implemente Lista blanca de aplicaciones de Windows para permitir solo la ejecución de programas aprobados. Cualquier ransomware que no agregue a la lista no se ejecutará.

    
respondido por el ThoriumBR 03.03.2016 - 15:32
fuente
2
  

"Como parte de esta estrategia, se me ocurrió la idea de bloquearme   desde la escritura a tantas ubicaciones (y archivos) como sea posible. "

Creo que vale la pena si cambia su estrategia teniendo en cuenta su necesidad de acceso de escritura a muchas ubicaciones.

Puede ser más práctico no bloquearse escribiendo tantas ubicaciones como sea posible, ya que esto dificultaría el uso de las mismas. En su lugar, puede bloquearse solo para escribir en su ubicación de copia de seguridad.

Puede aplicar esto haciendo lo siguiente:

  1. Programe su software de copia de seguridad para que se ejecute como administrador en segundo plano, de forma regular y automática.
  2. Configure su software de copia de seguridad para hacer copias de seguridad incrementales, como precaución contra la sobrescritura maliciosa.
  3. Proporcione acceso de escritura de su ubicación de copia de seguridad local solo a su administrador, restrinja a todos los demás usuarios, incluido usted mismo.
  4. Nunca use su computadora con una cuenta de administrador para otras tareas que no sean tareas administrativas, y si no es posible, estará desconectado en esos momentos.

Por supuesto, siempre es mejor adaptar esta estrategia además de " sistema operativo completamente parcheado, AV completamente parcheado, copias de seguridad fuera de línea de alta frecuencia y copias de seguridad externas de alta frecuencia " como se menciona en los comentarios a otras respuestas.

    
respondido por el dx486 15.03.2016 - 11:24
fuente
0

Hay un número infinito de lugares donde ransomware puede instalarse en Windows.

Por ejemplo:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : uno puede ejecutar ransomware y luego deshabilitar el administrador de tareas (CTRL + ALT + SUPR) con una política (establecer 1 en HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr ) y mostrarse en modo de pantalla completa.

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon one puede falsificar userinit aquí y winlogon lo lanzará.

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ : puede agregar dll ransomware para userinit o winlogon o explorer para cargar con el proceso. Esta sección se creó para los depuradores, pero puede ser utilizada por ransomware.

Incluso si limpia su registro, el malware puede:

  • Use la política de grupo (almacenada físicamente en %SYSTEMROOT%\System32\GroupPolicy ) para actualizar el registro y agregarse allí de nuevo
  • Se agrega a sí mismo justo después de autochk (o incluso lo parchea) en la clave BootExecute en HKLM\SYSTEM\CurrentControlSet\Control\Session Manager (puede que también actualice otros conjuntos de control), por lo que se iniciará en la etapa inicial de arranque y se instalará en algún lugar.

Entonces, respondiendo a su pregunta: los permisos NTFS no tienen nada que ver con el ransomware. Es posible que me instale en cualquier lugar (incluido %TEMP% ) y luego agregue un enlace en su registro.

En teoría, puede intentar detenerlo, negándole a su usuario que escriba en las secciones del registro que mencioné aquí, pero la lista no está completa. Estoy seguro de que hay muchos lugares en el registro que no conozco.

Para protegerse, haga lo siguiente:

  • Use una cuenta de usuario normal, intente usar privilegios en lugar de agregarlos al grupo de "Administradores" ( enlace )
  • utilizar UAC
  • Use antivirus e instale siempre las últimas actualizaciones para su sistema operativo :)
respondido por el user996142 03.03.2016 - 14:54
fuente

Lea otras preguntas en las etiquetas

¿Cómo identificar y analizar el malware que comprueba las herramientas de seguridad antes de ejecutar? "Manualmente" verificar un certificado