Опоравак датотека након инфекције енкриптором из ВСС снимака

Настављамо низ чланака о методама сузбијања криптографских вируса. Прошли пут смо погледали једноставан метод проактивне заштите од рансомвареа на датотечним серверима који користе ФСРМ. Данас ћемо говорити о методи опоравка података која омогућава безболно враћање датотека у случајевима када је вирус већ пробио и шифрирао документе на рачунару корисника.

Најлакши начин за враћање оригиналних података након шифрирања докумената тројанским шифротором је враћање података из резервне копије. А ако се и даље може организовати централизовано прављење сигурносних копија података на серверима, тада је прављење резервних копија података са рачунара корисника много теже. Срећом, Виндовс већ има уграђени резервни механизам. - копије у сенци, створио Волуме Схадов Цопи Сервице (ВСС).

Да бисте могли да вратите старе верзије датотека са ВСС снимака, морају бити испуњени следећи услови:

  • ВСС мора бити омогућен за заштићене количине
  • мора бити довољно слободног простора на диску за чување слика (најмање 10-20%)
  • корисник не би требао имати локална администраторска права на свом рачунару (већина модерних шифрера који раде са правима администратора бришу све доступне ВСС снимке), а заштита контроле корисничких налога (УАЦ) је омогућена

Размотрите механизам за централизовано управљање смерницама за снимање у окружењу домена Ацтиве Дирецтори-а како би се омогућио опоравак података након напада вируса енкриптора.

Садржај:

  • Омогућавање ВСС на рачунарима који користе ГПО
  • Копирање всхадов.еке на рачунаре корисника који користе ГПО
  • ПоверСхелл скрипта за прављење снимака у сенци свих волумена
  • Задатак планера за креирање ВСС снимака
  • Вратите оригиналне податке из сенчне копије волумена
  • Закључак

Омогућавање ВСС на рачунарима који користе ГПО

Пре свега, креираћемо групну политику која би укључивала услугу Волуме Схадов Цопи Сервице (ВСС) на рачунарима корисника. Да бисте то урадили, у конзоли ГПМЦ.мсц створите нови ГПО под називом Вссполици и доделите је ОУ-у са рачунарским корисницима.

Прелазимо на режим за уређивање ГПО-а. Затим у одељку Компјутер Конфигурација->Виндовс Подешавања->Сигурност Подешавања->Систем Услуга на листи услуга које требате да бисте пронашли Запремина Сенка Копирај и подесите тип покретања за то Аутоматски.

Копирање всхадов.еке на рачунаре корисника који користе ГПО

Да бисте креирали и управљали копијама у сенци на корисничким рачунарима, потребан нам је услужни програм всхадов.еке из Виндовс СДК-а. У овом примеру ћемо користити всхадов из СДК-а за Виндовс 7 к64 (у мом случају је исправно радио и на Виндовс 7 и на Виндовс 10 к64). Помоћу ГПП-а копирајте датотеку всхадов.еке у директориј% виндир% \ систем32 на свим рачунарима.

Савет. Датотека всхадов.еке се може преузети са ове везе: всхадов-7 × 64.зип

Да бисте то урадили, у одељку са политикама Конфигурација рачунара -> Подешавања -> Подешавања оперативног система Виндовс -> Датотеке креирајте нову политику која копира датотеку всхадов.еке из директорија \\домаин.лоц \ СИСВОЛ \домаин.лоц \ сцриптптс \ (датотека се овде мора преписати раније) у каталог % виндир% \ систем32 \ всхадов.еке (морате одредити име датотеке у одредишном одредишту). Можете да конфигуришете ову смерницу да ради само једном (примените једном и не поново се пријавите).

ПоверСхелл скрипта за прављење снимака у сенци свих волумена

Затим нам треба скрипта која би одредила листу дискова у систему, омогућила снимање у сенци за све и створила нови ВСС снимак. Добио сам следећи сценарио:

$ ХДДс = ГЕТ-ВМИОБЈЕЦТ - упит "СЕЛЕЦТ * из вин32_логицалдиск где ДривеТипе = 3"
фореацх ($ ХДД у $ ХДД-овима)
$ Дриве = $ ХДД.ДевицеИД
$ вссадминЕнабле = "вссадмин.еке Промените величину СхадовСтораге / Фор = $ Дриве / Он = $ Дриве / МакСизе = 10%"
$ вссцреатесс = "всхадов.еке -п $ Погон"
цмд / ц $ вссадминЕнабле
цмд / ц $ вссцреатесс

Први термин вам омогућава да пронађете све дискове у систему, а затим за сваки диск услужни програм всхадов активира сенчне копије, које би требале заузети не више од 10% простора и створити нову копију.

Ова скрипта ће бити сачувана у датотеци всс-скрипта.пс1 и такође копирати на рачунаре корисника путем ГПО-а.

Задатак планера за креирање ВСС снимака

Последња ствар која је преостала је да направите задатак планера на свим рачунарима, који би редовно покретао ПоверСхелл скрипту всс-сцрипт.пс1 и креирао нови снимак всс диска. Најлакши начин за креирање таквог задатка је путем ГПП-а. За то, у одељку Компјутер Конфигурација -> Подешавања -> По распореду Задаци направите нови задатак планера (Нови-> Планирани задатак (најмање Виндовс 7) са називом: креирати всснапсхот, која тече као НТ АУТОРИТЕТ \Систем са повишеним правима.

Рецимо да задатак треба да почне сваког дана у време ручка у 13:20 (овде морате самостално размислити о потребној учесталости стварања слика).

Покрените скрипту:% виндир% \ Систем32 \ ВиндовсПоверСхелл \ в1.0 \ поверсхелл.еке

са аргументом% виндир% \ систем32 \ всс-сцрипт.пс1

Савет. Такође је неопходно обезбедити креирање недељног задатка да би планер избрисао старе ВСС снимке. Да бисте то учинили, направите нови задатак за планера који изводи скрипту сличну првој, али са линијама:

$ вссадминДелетеОлд = "всхадов.еке -до =% $ Погон"
цмд / ц $ вссадминДелетеОлд

Вратите оригиналне податке из сенчне копије волумена

У случају да је шифрант ипак стигао до корисничког рачунара и обавио свој прљави посао, након што га је искочио из система, администратор може вратити корисничке документе са последњег снимка..

Списак свих доступних снимака може се приказати наредбом:

сенке листе вссадмин.еке

У нашем примеру, последњи снимак је снимљен 6.10.2016 1:33:35 и садржи Схадов Цопи ИД = 6бд666ац-4б42-4734-8фдд-фаб64925ц66ц.

Снажни снимак читања монтирамо као посебан системски погон према његовом ИД-у:

всхадов -ел = 6бд666ац-4б42-4734-8фдд-фаб64925ц66ц, З:

Сада помоћу Филе Екплорера или било ког менаџера датотека копирајте оригиналне датотеке са З: погона, што је садржај прикљученог снимка диска.

Да бисте искључили диск снимком:

моунтвол З: \ / Д

Савет. Ту је и погоднији графички алат за гледање и вађење података из ВСС слика - СхадовЕкплорер.

Закључак

Наравно, сенчне копије ВСС-а нису метода борбе против криптографских вируса и не отказују интегрисани приступ организовању мрежне заштите од вируса (антивируси, блокирање покретања извршних датотека помоћу СРП или АппЛоцкер политика, филтера репутације СмартСцреен-а итд.). Међутим, једноставност и приступачност механизма сенчних копија свезака је, по мом мишљењу, велика предност овог једноставног метода враћања шифрованих података, што је врло вероватно да ће бити корисно у случају инфекције која продире у рачунар корисника..