Despre actualizarea Windows de la virusul ransomware WannaCry. Cum să te protejezi de atacul ransomware WannaCry

Una dintre modalitățile de a combate virușii ransomware este interzicerea redenumirii fișierelor. Dacă știm ce extensie va primi fișierul după ce l-am criptat cu un virus, atunci putem pur și simplu interzice crearea fișierelor cu această extensie. De asemenea, vom interzice crearea de fișiere text cunoscute care conțin cereri de ransomware, care la rândul lor vor ajuta la protejarea împotriva virușilor care nu modifică extensia fișierului în timpul criptării.

Instalarea File Server Resource Manager și configurarea șablonului.

Mai întâi, să instalăm rolul „File Server Resource Manager”. Acest lucru se poate face prin Server Manager sau prin Powershell. Să luăm în considerare a doua opțiune:

Instalare-WindowsFeature FS-Resource-Manager -IncludeManagementTools

După instalarea FSRM, asigurați-vă că reporniți serverul.

După repornire Start -> Run -> fsrm.msc

Să creăm un grup Grupuri de fișiere anti-ransomwareși adăugați o extensie pe care vrem să o blocăm.

Adăugarea manuală a totul durează mult timp, așa că automatizăm procesul. Vom prelua lista extensiilor interzise de pe site-ul https://fsrm.experiant.ca

Să creăm și să rulăm un script Powershell ca administrator.

$gr_name = "Grupuri de fișiere anti-Ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).conținut | convertfrom-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

După executarea scriptului, verificăm grupul Grupuri de fișiere anti-ransomware, ar trebui să apară în el extensiile și numele fișierelor care trebuie blocate.

În setările șablonului, selectați un grup Grupuri de fișiere anti-ransomware presa Bine. În plus, puteți configura o alertă prin e-mail, o intrare în jurnal sau puteți lansa un script sau un program bazat pe un eveniment.

În sfârșit, accesați secțiunea Filtre de blocare a fișierelor.

Aici indicăm calea către directorul care trebuie protejat și șablonul utilizat.

Ca rezultat, atunci când încercați să schimbați extensia fișierului cu ceva care se află în lista noastră Grupuri de fișiere anti-ransomware vom primi o interdicție de înregistrare.

Blocarea utilizatorului infectat.

Odată ce o infecție este detectată, trebuie să luați măsuri împotriva sursei amenințării. Este necesar să interziceți accesul la folderul partajat utilizatorului care a prins ransomware-ul pe computerul său. Pentru a face acest lucru, îl vom plasa pe disc C:\ fişier SmbBlock.ps1 cu urmatorul continut:

Param($nume utilizator = “”) Get-SmbShare -Special $false | Pentru fiecare obiect (Bloc-SmbShareAccess -Nume $_.Nume -Nume cont „$nume utilizator” -Force)

Să revenim la Blocarea tiparelor de filtrareși selectați fila Echipă.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Comandă „& (C:\smbblock.ps1 -nume utilizator ‘’)”

Ca urmare a executării scriptului, utilizatorul infectat primește o interdicție personală de a intra în folder.

Această metodă de protecție nu este o soluție absolută la această problemă deoarece Scriitorii de viruși nu stau pe loc, dar ca una dintre componentele protecției cuprinzătoare este destul de aplicabil.

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitarul antivirus detectează un virus, îl va elimina imediat sau vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nu putem spune nimic liniștitor în acest moment. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, expert în securitate informatică, în momentul de față infractorii au primit doar 26.000 USD, adică doar aproximativ 58 de persoane au fost de acord să plătească răscumpărarea extorsionorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe Firewall, prin care apare infecția.

Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.

Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.

Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.

Ce să faci dacă ești victima WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:

Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
Schimbați driverele.
Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
Actualizați sistemul de operare și toate celelalte software-uri.
Actualizați și rulați software-ul antivirus.
Reconectați-vă la rețea.
Monitorizați traficul de rețea și/sau rulați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierde timp și bani cu acei „genii IT” care promit să te salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.

Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:

În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:

Particularitatea virusului WannaCry este că poate pătrunde într-un sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, este exploatată o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.

Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

Pe 12 mai, în jurul orei 13:00, virusul Wana Decryptor a început să se răspândească. În aproape câteva ore, zeci de mii de computere din întreaga lume au fost infectate. Până în prezent, au fost confirmate peste 45.000 de computere infectate.

Cu peste 40 de mii de hack-uri în 74 de țări, utilizatorii de internet din întreaga lume au fost martorii celui mai mare atac cibernetic din istorie. Lista victimelor include nu numai oameni obișnuiți, ci și servere ale băncilor, companiilor de telecomunicații și chiar agențiilor de aplicare a legii.

Calculatoarele atât ale utilizatorilor obișnuiți, cât și ale computerelor de lucru din diferite organizații, inclusiv Ministerul rus al Afacerilor Interne, au fost infectate cu virusul ransomware Wanna Cry. Din păcate, în acest moment nu există nicio modalitate de a decripta fișierele WNCRY, dar puteți încerca să recuperați fișierele criptate folosind programe precum ShadowExplorer și PhotoRec.

Patch-uri oficiale de la Microsoft pentru a proteja împotriva virusului Wanna Cry:

Windows 7 32bit/x64
Windows 10 32 biți/x64
Windows XP 32 biți/x64 - nici un patch de la WCry.

Cum să te protejezi de virusul Wanna Cry

Vă puteți proteja de virusul Wanna Cry descărcând un patch pentru versiunea dvs. de Windows.

Cum se răspândește Wanna Cry

Wanna Cry este distribuit:

prin fișiere
mesaje e-mail.

După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.
Utilizatorii obișnuiți raportează, de asemenea, infecții pe forumuri și rețele sociale:

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost descoperit un atac ransomware WannaCryptor (WannaCry) la scară largă, care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Programul cere 300 USD în bitcoins (aproximativ 17.000 de ruble) ca răscumpărare pentru decriptare.

Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Vă spunem ce trebuie să faceți acum pentru a evita infecția.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele casnice ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

5. Pentru a detecta amenințări încă necunoscute, produsele noastre utilizează tehnologii comportamentale și euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Astfel, sistemul cloud ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect pentru virusul Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima descoperire a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și este adesea numit cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, a existat prima sa versiune Vrei să Decrypt0r, principala diferență fiind metoda de distribuire. Această primă variantă nu era la fel de cunoscută ca fratele său mai mic, dar din această cauză, în unele știri, noul virus ransomware este numit pe numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Wana Decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, care ne conduce la nume Wana Decryptor sau WanaDecryptor.

Și numele de familie prin care utilizatorii numesc adesea acest virus ransomware este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au fost criptate.

Pentru a minimiza riscul ca virusul Wanna Cru să pătrundă pe computer, specialiștii Kaspersky Lab vă recomandă să instalați toate actualizările posibile pe versiunea curentă de Windows. Cert este că malware-ul infectează numai acele computere care rulează acest software.

Virusul Wanna Cry: Cum se răspândește

Anterior, am menționat această metodă de răspândire a virușilor într-un articol despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită după cum urmează: O scrisoare este trimisă în căsuța poștală a utilizatorului cu un atașament „inofensiv” - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea o extensie de fișier executabil. - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului, relatează therussiantimes.com.

Virusul Wanna Cry: descrierea virusului

Wanna Cry (oamenii de rând l-au poreclit deja Wona's Edge) aparține categoriei de viruși ransomware (criptori), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, făcând ulterior imposibilă citirea acestor fișiere.
În prezent, se știe că următoarele extensii de fișiere populare sunt supuse criptării Wanna Cry:

Fișiere Microsoft Office populare (.xlsx, rapoarte therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0, care atacă exclusiv computerele care rulează sistemul de operare Windows. Programul exploatează o „găură” în sistem - Buletinul de securitate Microsoft MS17-010, a cărui existență era necunoscută anterior. Programul necesită o răscumpărare de la 300 la 600 USD pentru decriptare. Apropo, în prezent, potrivit The Guardian, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor.

În acest articol vom analiza metodologia de utilizare a funcționalității Manager de resurse server de fișiere (FSRM) pe serverul de fișiere Windows Server 2012 R2 pentru depistare şi blocare muncă viruși ransomware(troieni codificatori, ransomware sau CryptoLocker). În special, ne vom da seama cum să instalăm serviciul FSRM, să configuram detectarea anumitor tipuri de fișiere și, dacă astfel de fișiere sunt detectate, să blocăm accesul utilizatorului la un director de pe serverul de fișiere.

Detectarea ransomware folosind FSRM

Dacă File Server Resource Manager nu este deja instalat pe serverul dvs., îl puteți instala folosind consola grafică Server Manager sau din linia de comandă PowerShell:

Instalare-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Să verificăm dacă rolul este instalat:

Get-WindowsFeature -Name FS-Resource-Manager

După instalarea componentei, serverul trebuie repornit.

Configurarea parametrilor SMTP FSRM pentru trimiterea notificărilor prin e-mail

Următorul pas este configurarea parametrilor SMTP ai serviciului FSRM, datorită cărora administratorul poate configura trimiterea notificărilor prin e-mail către căsuța sa poștală. Pentru a face acest lucru, lansați consola fsrm.msc, faceți clic dreapta pe rădăcina consolei File Server Resource Manager și selectați ConfigurațiOpțiuni.

Specificați adresa serverului SMTP, căsuța poștală a administratorului și numele expeditorului.

Puteți verifica corectitudinea setărilor serverului SMTP trimițând o scrisoare de test folosind butonul Trimite un e-mail de testare.

De asemenea, puteți configura setările SMTP ale serviciului FSRM utilizând Powershell:

Set-FsrmSetting -AdminEmailAddress " [email protected]„ –smtpserver smtp.adatum.com –FromEmailAddress „ [email protected]"

Crearea unui grup de extensii de fișiere create de ransomware

Următorul pas este să creați un grup de fișiere care va conține extensii cunoscute și nume de fișiere pe care ransomware-ul le creează în timpul funcționării sale.

Această listă poate fi setată din consola FSRM. Pentru a face acest lucru, extindeți capitolFile Screening Management -> File Groupsși selectați din meniu Creați grup de fișiere.

Trebuie să specificați numele grupului (de exemplu, Crypto-fișiere) și adăugați toate extensiile cunoscute la listă folosind câmpul Fișiere de inclus.

Lista extensiilor de fișiere cunoscute create de ransomware este destul de mare, așa că este mult mai ușor să creați una folosind PowerShell.

În Windows Server 2012, puteți crea un grup de fișiere folosind PowerShell astfel:

New-FsrmFileGroup -Nume „Crypto-files” –IncludePattern @(“_Locky_recover_instructions.txt”, „DECRYPT_INSTRUCTIONS.TXT”, „DECRYPT_INSTRUCTION.TXT”, „HELP_DECRYPT.TXT”, „HELP_DECRYPT.TXT”, „HELP_DECRYPT. „enc_files.txt”, „HowDecrypt.txt”, „How_Decrypt.txt”, „How_Decrypt.html”, „HELP_RESTORE_FILES.txt”, „restore_files*.txt”, „restore_files.txt”, „RECOVERY_KEY.TXT”, „ cum să decriptați aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*. locky","*.ezz", "*.ecc", "*.exx", "*.7z.criptat", "*.ctbl", "*.criptat", "*.aaa", "*. xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")

În Windows Server 2008 R2 va trebui să utilizați utilitarul filescrn.exe:

Sfat. Puteți compila singuri o listă de extensii de fișiere cunoscute pentru diferite programe de ransomware sau puteți utiliza liste gata făcute, actualizate periodic, întreținute de entuziaști:

https://www.bleib-virenfrei.de/ransomware/

https://fsrm.experiant.ca/api/v1/combined

În al doilea caz, lista curentă de extensii de fișiere pentru FSRM poate fi descărcată direct de pe serverul web folosind

new-FsrmFileGroup -name „Grupuri de fișiere anti-Ransomware” -IncludePattern @((Invoke-WebRequest -Uri „https://fsrm.experiant.ca/api/v1/combined”).content | convertfrom-json | % ($ _.filtre))

Sau utilizați un fișier gata făcut: . Acest fișier poate fi salvat pe disc și utilizat pentru a actualiza grupul creat de fișiere FSRM:

$ext_list = Obține conținut .\crypto_extensions.txt
Set-FsrmFileGroup -Nume „Crypto-files” -IncludePattern ($ext_list)

Configurarea șabloanelor de ecran de fișiere

Să creăm un nou șablon de ecran de fișiere care definește acțiunile pe care FSRM ar trebui să le facă atunci când întâlnește fișierele specificate. Pentru a face acest lucru, în consola FSRM, accesați secțiunea File Screen Management -> File Screen Templates. Să creăm un șablon nou Creați șablon de ecran de fișier.

În fila de setări, specificați numele șablonului „ Block_crypto_files”, tip de screening – Screening activ(este interzis să creați tipurile de fișiere specificate) și selectați Crypto-Files din lista de grupuri de fișiere.

Pe fila Mesaj e-mail Să activăm trimiterea notificărilor prin e-mail, personalizând textul de notificare după bunul plac.

Pe fila Eveniment Buturuga activați înregistrarea evenimentelor în jurnalul de sistem. Cu instrucțiunea de a înregistra doar numele de utilizator:

Pe fila Comanda Puteți specifica acțiunea de întreprins atunci când acest tip de fișier este detectat. Mai multe despre asta mai jos.

Salvați modificările. Un altul ar trebui să apară în lista de șabloane.

Aplicarea unui șablon File Screen pe o unitate sau un folder

Tot ce rămâne este să atribuiți șablonul creat unei unități sau unui folder de rețea de pe server. Să creăm o nouă regulă în consola FSRM.

În câmpul File screen path, trebuie să specificăm unitatea locală sau calea către directorul pentru care dorim să activăm protecția împotriva ransomware, iar în lista de șabloane, selectați șablonul Block_crypto_files creat mai devreme.

Blocarea automată a accesului pentru un utilizator infectat cu ransomware

Tot ce rămâne este să configurați acțiunea pe care FSRM o va efectua atunci când detectează fișierele create de ransomware. Vom folosi un script gata făcut: Protejați-vă serverul de fișiere împotriva ransomware-ului utilizând FSRM și Powershell(https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce). Ce face acest script? Când încercați să scrieți un tip de fișier „interzis” într-un director de rețea, FSRM rulează acest script, care analizează jurnalul de evenimente și la nivel de partajare interzice să scrie utilizatorului care a încercat să scrie tipul de fișier interzis. Astfel, vom bloca accesul utilizatorului infectat la folderul de rețea.

Descărcați scriptul specificat și despachetați-l în rădăcina directorului C:\ de pe serverul de fișiere. Copiați utilitarul în același folder (necesar pentru a schimba permisiunile pe un director de rețea). Catalogul trebuie să conțină următoarele fisiere:

StartRansomwareBlockSmb.cmd
subinacl.exe

Notă. În scriptul PS a trebuit să schimb liniile:

$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"

if ($Rule -match "Crypto-Files")

Rămânând în setările șablonului „Blocați fișierele criptografice” din filă Comanda specificați că linia de comandă trebuie lansată cu argumentul StartRansomwareBlockSmb.cmd:

Rulați această comandă sau script: c:\windows\system32\cmd.exe

Argumente de comandă: /c „c:\StartRansomwareBlockSmb.cmd”

Comanda trebuie executată cu drepturi de sistem local ( LocalSistem).

Testare de securitate FSRM

Să testăm cum funcționează protecția FSRM împotriva ransomware. Pentru a face acest lucru, să creăm un fișier cu o extensie arbitrară în directorul protejat și să încercăm să-l schimbăm în cel interzis.locky.

ID eveniment: 8215
Sursa: SRMSVC

Scriptul RansomwareBlockSmb.ps1, bazat pe datele de la eveniment, va interzice utilizatorului curent accesul la acest director prin setarea refuzului personal în permisiunile pe partajare:

Protecția funcționează! La rădăcina discului din jurnal puteți vedea directorul și utilizatorul în care a încercat să ruleze ransomware-ul.

Dacă trebuie să oferiți un nivel și mai ridicat de securitate, puteți trece de la o listă neagră de fișiere la o listă albă, când pe serverul de fișiere pot fi stocate doar tipurile de fișiere permise.

Așadar, am analizat cum să folosim FSRM pentru a bloca automat accesul la directoarele de rețea pentru utilizatorii ale căror computere sunt infectate cu un virus ransomware. Desigur, utilizarea FSRM în acest mod nu poate oferi o garanție de 100% a protecției fișierelor de pe servere de această clasă de viruși, dar ca unul dintre eșaloanele de protecție, tehnica este destul de potrivită. În următoarele articole, vom analiza mai multe opțiuni pentru contracararea virușilor ransomware.