Заштита шифровања помоћу ФСРМ-а на Виндовс Серверу

У овом чланку анализираћемо методологију коришћења функционалне Менаџер ресурса датотечног сервера (ФСРМ) на датотечном серверу Виндовс Сервер 2012 Р2 за откривање и блокирање посао рансомваре вируси (Енцодер Тројанс, Рансомваре или ЦриптоЛоцкер). Конкретно ћемо смислити како инсталирати ФСРМ услугу, конфигурирати детекцију одређених врста датотека и, ако су такве датотеке откривене, блокирати приступ корисника директоријуму на датотечном серверу.

Садржај:

  • Детекција енкриптора помоћу ФСРМ-а
  • Конфигуришите СМТП ФСРМ поставке за слање е-порука
  • Направите групу екстензија датотека креираних од стране рансомвареа
  • Конфигуришите предлоге екрана датотека
  • Примјена предлога заслона датотеке на диск или мапу
  • Аутоматски блокирајте приступ кориснику зараженом енкриптором
  • ФСРМ безбедносно тестирање

Детекција енкриптора помоћу ФСРМ-а

Ако компонента Управитеља ресурса датотека није већ инсталирана на серверу, она се може инсталирати помоћу графичке конзоле Сервер Манагер или из наредбене линије ПоверСхелл:

Инсталирајте-ВиндовсФеатуре ФС-Ресоурце-Манагер -ИнцлудеМанагементТоолс

Проверавамо да ли је улога успостављена:

Гет-ВиндовсФеатуре -Наме ФС-Ресоурце-Манагер

Након инсталирања компоненте, сервер треба поново покренути.

Конфигуришите СМТП ФСРМ поставке за слање е-порука

Сљедећи корак је конфигурација СМТП параметара ФСРМ услуге, захваљујући којем администратор може конфигурирати слање е-порука обавијести у свој поштански сандучић. Да бисте то учинили, покрените конзолу фсрм.мсц, кликните десним тастером миша на корен конзоле Филе Сервер Ресоурце Манагер и изаберите Конфигуришите Опције.

Наведите адресу СМТП сервера, поштанско сандуче администратора и име пошиљатеља.

Савет. Ако немате интерни сервер поште, можете конфигурисати прослеђивање путем СМТП релеја на спољне поштанске сандучиће.

Исправност поставки СМТП сервера можете проверити слањем пробног писма помоћу дугмета Пошаљи тестну е-пошту.

Такође можете конфигурирати СМТП поставке ФСРМ услуге користећи Поверсхелл:

Сет-ФсрмСеттинг -АдминЕмаилАддресс "ФилеСерверАдминс@адатум.цом" -смтпсервер смтп.адатум.цом -ФромЕмаилАддресс "ФСРМ@ЛОН-ФС02.адатум.цом"

Направите групу екстензија датотека креираних од стране рансомвареа

Следећи корак је креирање групе датотека које ће садржавати познате екстензије и називе датотека које шифратори стварају у процесу.

Ова листа се може подесити из ФСРМ конзоле. Да бисте то учинили, проширите одељак Управљање скенирањем датотека -> Групе датотека и изаберите Креирајте групу датотека.

Морате навести име групе (на пример, Крипто-датотеке) и додајте сва позната проширења на листу користећи поље Датотеке које треба укључити.

Листа познатих екстензија датотека креирана од стране шифрера је прилично велика, тако да је много лакше створити је помоћу ПоверСхелл-а.

У Виндовс Сервер 2012, можете да креирате групу датотека користећи ПоверСхелл овако:

Нови-ФсрмФилеГроуп -Наме "Црипто-филес" -ИнцлудеПаттерн @ ( "_ Лоцки_рецовер_инструцтионс.ткт", "ДЕЦРИПТ_ИНСТРУЦТИОНС.ТКСТ", "ДЕЦРИПТ_ИНСТРУЦТИОН.ТКСТ", "ХЕЛП_ДЕЦРИПТ.ТКСТ", "ХЕЛП_ДЕЦРИПТ.ХТМЛ", "ДецриптАллФилес.ткт", "енц_филес.ткт", "ХовДецрипт.ткт", "Хов_Децрипт.ткт", "Хов_Децрипт.хтмл", "ХЕЛП_РЕСТОРЕ_ФИЛЕС.ткт" ,, "Ресто_филес * .ткт", "Ресто_филес.ткт", "РЕЦОВЕРИ_КЕИ.ТКСТ", "како дешифрирати аес филес.лнк", "ХЕЛП_ДЕЦРИПТ.ПНГ", "ХЕЛП_ДЕЦРИПТ.лнк", "ДецриптАллФилес * .ткт", "децрипт.еке", "АллФилесАреЛоцкед * .бмп", "МЕССАГЕ.ткт", "* .лоцки "," *. езз "," * .ецц "," * .екк "," * .7з.енцриптед "," * .цтбл "," * .енцриптед "," * .ааа "," * .ктбл "," * .абц "," * .ЈУСТ "," * .ЕнЦиПхЕрЕд "," * .цриптолоцкер "," *. мицро "," *. ввв ")

У Виндовс Сервер 2008 Р2, мораћете да користите услужни програм филесцрн.еке:

филесцрн.еке филегроуп Додај / филегроуп: "Црипто-филес" / чланови: "ДЕЦРИПТ_ИНСТРУЦТИОНС.ТКСТ | ДЕЦРИПТ_ИНСТРУЦТИОН.ТКСТ | ДецриптАллФилес.ткт | енц_филес.ткт | ХовДецрипт.ткт | Хов_Децрипт.ткт | Хов_Децрипт.хтмл | ХЕЛП_ТО_ДЕЦРИПТ_ИОУР_ФИЛЕС.ткт | ХЕЛП_РЕСТОРЕ_ФИЛЕС .ткт | ХЕЛП_ТО_САВЕ_ФИЛЕС.ткт | обнови_филес * .ткт | Ресто_филес.ткт | РЕЦОВЕРИ_КЕИ.ТКСТ | ХЕЛП_ДЕЦРИПТ.ПНГ | ХЕЛП_ДЕЦРИПТ.лнк | ДецриптАллФилес * .ткт | Децрипт.еке | АТТЕНТЕДЕС. .ткт | * .лоцки | * .езз | * .ецц | * .екк | * .7з.енцриптед | * .цтбл | * .енцриптед | * .ааа | * .ктбл | * .ЕнЦиПхЕрЕд | * .цриптолоцкер | * .мицро | * .ввв | * .ецц | * .езз | * .екк | * .ззз | * .киз | * .ааа | * .абц | * .ццц | * .ввв | * .ккк | * .ттт | * .мицро | * .енцриптед | * .блоцкед | * .црипто | * _црипт | * .цринф | * .р5а | * .КСРНТ | * .КСТБЛ | * .црипт | * .Р16М01Д05 | * .пздц | *. добар | * .ЛОЛ! | * .ОМГ! | * .РДМ | * .РРК | * .енцриптедРСА | * .црјокер | * .ЛеЦхиффре | *.кеибтц@инбок_цом | * .0к0 | * .блееп | * .1999 | * .ваулт | * .ХА3 | * .токцрипт | * .магиц | * .СУПЕРЦРИПТ | * .ЦТБЛ | * .ЦТБ2 | * .лоцки "

Савет. Можете сами саставити листу познатих екстензија датотека различитих шифрирања или користити готове периодично ажуриране листе које воде ентузијасти:

хттпс://ввв.блеиб-виренфреи.де/рансомваре/

хттпс://фсрм.екпериант.ца/апи/в1/цомбинед

У другом случају, тренутна листа екстензија датотека за ФСРМ може се преузети директно са веб сервера помоћу Инвоке-ВебРекуест

нев-ФсрмФилеГроуп -наме "Анти-Рансомваре Филе Филе" -ИнцлудеПаттерн @ ((Инвоке-ВебРекуест -Ури "хттпс://фсрм.екпериант.ца/апи/в1/цомбинед").цонтент | цонвертфром-јсон |% $ _.филтерс)

Или користите готову датотеку: црипто_ектенсионс.ткт. Ова датотека се може спремити на диск и ажурирати помоћу ње створена група ФСРМ датотека:

$ ект_лист = Гет-Цонтент. \ црипто_ектенсионс.ткт
Сет-ФсрмФилеГроуп -Наме "Крипто-датотеке" -ИнцлудеПаттерн ($ ект_лист)

Конфигуришите предлошке екрана датотека

Направите нови предложак екрана датотеке који дефинира радње које ФСРМ треба подузети када открије наведене датотеке. Да бисте то учинили, у конзоли ФСРМ идите на Управљање датотекама -> Предлошци екрана датотека. Креирајте нови образац Направите шаблон екрана датотеке.

На картици подешавања одредите назив предлошка „Блоцк_црипто_филес”, Врста скрининга - Активни скрининг (забрањено је креирање одређених врста датотека) и одаберите Црипто-Филес на листи група датотека.

Картица Емаил Порука омогућите слање е-порука путем прилагођавања текста обавештења по вашој жељи.

Картица Евент Пријавите се омогућите евидентирање догађаја у системском дневнику. Са назнаком да се бележи само корисничко име: [Извор Ио власник]

Картица Команда Можете одредити акцију коју треба предузети када се открије ова врста датотеке. Више о томе у наставку..

Сачувајте измене. На листи образаца треба да се појави још један образац..

Примјена предлога заслона датотеке на диск или мапу

Остаје доделити створени предложак диску или мрежној мапи на серверу. Креирајте ново правило у ФСРМ конзоли Креирајте екран датотеке.

У пољу Пут стазе до датотеке требате навести локални диск или пут до директорија за који желимо омогућити систем заштите шифрирања, а на листи образаца одаберите предложак Блоцк_црипто_филес креиран раније.

Аутоматски блокирајте приступ кориснику зараженом енкриптором

Остаје да конфигурише радњу коју ће ФСРМ извршити када открије датотеке креиране од стране шифрера. Користићемо готов скрипт: Заштитите свој датотечни послужитељ од Рансомвареа користећи ФСРМ и Поверсхелл (хттпс://галлери.тецхнет.мицрософт.цом/сцриптцентер/Протецт-иоур-Филе-Сервер-ф3722фце). Шта ради овај скрипт? Приликом покушаја уписивања „забрањене“ врсте датотека у мрежни директориј, ФСРМ покреће ову скрипту која анализира дневник догађаја и на нивоу куглица забрањује кориснику писање, покушао је да запише забрањену врсту датотеке одоздо. Тако ћемо блокирати приступ инфицираном кориснику у мрежну фасциклу.

Преузмите наведену скрипту и распакујте је у корен директорија Ц: \ на датотечном серверу. Копирајте услужни програм у исту мапу Субинацл (потребна за промену дозвола у мрежном именику). У каталогу би требало бити следеће датотеке:

  • РансомвареБлоцкСмб.пс1
  • СтартРансомвареБлоцкСмб.цмд
  • субинацл.еке

Напомена. У ПС скрипту сам морао да променим линије:

$ СубинацлЦмд = "Ц: \ субинацл / вербосе = 1 / схаре \\ 127.0.0.1 \" + "$ СхареПарт" + "/ дени =" + "$ БадУсер"

и

иф ($ Руле -матцх "Црипто-Филес")

Остаје у поставкама шаблона „Блокирај крипто датотеке“ на картици Команда назначите да би наредбена линија требала почети с аргументом СтартРансомвареБлоцкСмб.цмд:

Покрените ову наредбу или скрипту: ц: \ виндовс \ систем32 \ цмд.еке

Аргументи команде: / ц „ц: \ СтартРансомвареБлоцкСмб.цмд“

Наредба се мора извршити с правима локалног система (Локално Систем).

ФСРМ безбедносно тестирање

Испитајмо како ради ФСРМ заштита од енкриптора. Зашто стварати датотеку са произвољним проширењем у заштићеном директоријуму и покушати да је промените у забрањену .лоцки.

Када покушава да сачувате забрањену датотеку, ФСРМ ће регистровати догађај:

ИД догађаја: 8215
Извор: СРМСВЦ

Скрипта РансомвареБлоцкСмб.пс1, заснована на подацима са догађаја, забранит ће тренутном кориснику приступ овом директоријуму постављањем личног порицања у дозволама за куглу:

Заштита делује! У корену диска у дневнику можете видети директориј и корисника од кога се шифратор покушао покренути.

Ако желите да обезбедите још виши ниво заштите, можете прећи са црне листе датотека на белу, кад се на датотечни сервер могу сачувати само датотеке дозвољених типова.

Дакле, испитали смо како се помоћу ФСРМ-а аутоматски блокира приступ мрежним именицима корисницима чији су рачунари заражени вирусом енкрипције. Наравно, коришћење ФСРМ-а у овом режиму не може дати 100% гаранцију заштите датотека на серверима из ове класе вируса, али као један од ешалона заштите, техника је сасвим погодна за себе. У следећим ћемо чланцима размотрити још неколико опција за сузбијање криптографских вируса:

  • Како опоравити корисничке датотеке из ВСС снимака након што их зарази шифрир
  • Блокирајте вирусе и рансомваре са софтвером за ограничавање софтвера