請利用GPO軟體限制原則方式封鎖 svchost.exe & rundll32.exe在以下路徑執行:
%LocalAppData%\Temp\
%LocalAppData%\Temp\Low\
%LocalAppData%\Temp\
%LocalAppData%\Temp\Low\
這樣可以避免勒索病毒(xxx.tmp.dll)被帶起來執行
1. 利用軟體限制原則封鎖svchost.exe & rundll32.exe,如下圖:
%LocalAppData%\Temp\svchost.exe
%LocalAppData%\Temp\Low\svchost.exe
%LocalAppData%\Temp\rundll32.exe
%LocalAppData%\Temp\Low\rundll32.exe
%LocalAppData%\Temp\Low\svchost.exe
%LocalAppData%\Temp\rundll32.exe
%LocalAppData%\Temp\Low\rundll32.exe
2.以下為封鎖svchost.exe路徑規則的內容
(封鎖rundll32.exe路徑規則的設定方式與svchost.exe相同)
3.規則設定完畢後,電腦記得登出再登入才會生效
4.以下為測試 ransomware (xxx.tmp.dll)樣本執行不起來的畫面
5.也可以Copy一個正常的svchost.exe或rundll32.exe到%LocalAppData%\Temp\路徑執行測試,然後確認看看是否有跳出封鎖的訊息