如何用Windows Powershell创建一个防止勒索软件的蜜罐？

Question

有没有可能创建一种防止加密的蜜罐？就像在像cryptolocker这样的恶意程序造成大量数据丢失并阻止它之前一样？这样的脚本看起来会是什么样子？

我试着在谷歌上搜索，找到了几个讨论。关键是在通常首先受到攻击的目录(如回收站)中创建一个文件，如果它被某个程序或用户修改，他们将立即被拒绝访问任何进一步的文件。

现在我知道这是一个广泛的问题，但我很难收集到有用的信息，我希望得到直接的答案或有用的文章。我甚至找到了一种通过使用API钩子来绕过勒索软件的方法，尽管这对我来说是一个更困难的主题。

我会继续我自己的研究，但一切都是有帮助的。

谢谢。

Answer 1

我将从这里开始https://www.honeynet.org/project，并可能考虑监视处理加密的Windows API，将有效调用列入白名单，并强制用户对可能是恶意的调用进行确认。

Answer 2

要保护网络共享，请执行以下操作：

我已经在网络上设置了蜜罐共享，可以对其进行监控，以便及早检测到受感染的计算机，并在它到达关键问题之前为我争取一些时间。命名蜜罐共享，以便在列表顶部枚举它们('AAAAAAAAA‘、'AAAAAAAAB’等)。然后用1,000个1MB的PDF文件填充它们。为Everyone组提供完全控制权限，以确保恶意软件从那里开始。

当然，最好的保护是确保正确应用共享上的权限，但这并不能阻止来自已具有该共享权限的用户帐户的攻击。

干杯

Answer 3

有些解密器需要文件的未加密版本才能尝试密钥恢复。我想知道您是否可以将一个有用的文件放在加密路径中，并在需要时离线保存该文件的副本。然后使用它来恢复密钥。这是不是对问题和解决方案的看法过于简单化？