Ransomware โดยบริษัท I-SECURE จำกัด
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ระบุ Path เป็ น C:\Users\\AppData\Local\Temp\ (มาจาก %TEMP% เราสามารถทราบได ้<br />
ว่า path %TEMP% คือ path ใด สามารถท าได ้โดยน าค่า %TEMP% ไปใส่ใน Address bar ไดเลยครับ)<br />
้<br />
จากนั้นกด Create<br />
รูปภาพการสร ้าง Rule ภายใต ้ AppLocker<br />
<br />
<br />
<br />
<br />
เนื่องด ้วย AppLocker จะท างานก็ต่อเมื่อ Application Identity ท างานเป็ นแบบ Automatic โดยไปที่<br />
Services<br />
คลิ ๊กขวาที่ Application Identity<br />
เลือก Properties<br />
ก าหนดให ้ Startup type: เป็ น Automatic<br />
หรือเข ้าไปที่<br />
HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc<br />
จากนั้นก าหนดค่า Start เป็ น 2<br />
15. ต ั้งค่า User Access Control<br />
<strong>Ransomware</strong> ปกติจะท างานโดยใช ้สิทธิ์ของ user ธรรมดาทั่วไป แต่ก็มี <strong>Ransomware</strong> บางประเภทเช่นกัน<br />
ที่จะมีการใช ้สิทธิ์ของ admin เพิ่มเติม รวมถึงบางครั้งจะมีจะท าการลบไฟล์ Shadow Copy ที่เป็ น Backup ของเครื่อง<br />
โดยการกระท าดังกล่าวก็ต ้องใช ้สิทธิ์ admin เช่นกัน เราสามารถตั้งค่าของ User Access Control (UAC) ให ้มีการถาม<br />
password ทุกครั้งที่มีการพยายามใช ้สิทธิ์มากกว่า User ธรรมดาโดยไปที่