Meniu
AcasăFoto și video

Despre actualizarea Windows de la virusul ransomware WannaCry. Cum să te protejezi de atacul ransomware WannaCry

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitarul antivirus detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nu putem spune nimic liniștitor în acest moment. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, expert în securitate informatică, până acum infractorii au primit doar 26.000 USD, adică doar aproximativ 58 de persoane au fost de acord să plătească răscumpărarea extorsionarilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe Firewall, prin care apare infecția.

Acest articol a fost pregătit în legătură cu un atac masiv de hackeri la scară globală, care te poate afecta și pe tine. Consecințele devin cu adevărat grave. Mai jos veți găsi o scurtă descriere a problemei și o descriere a principalelor măsuri care trebuie luate pentru a vă proteja împotriva familiei de viruși ransomware WannaCry.

Ransomware-ul WannaCry exploatează vulnerabilitatea Microsoft Windows MS17-010 pentru a executa cod rău intenționat și a rula ransomware pe computere vulnerabile, apoi virusul se oferă să plătească atacatorilor aproximativ 300 USD pentru a decripta datele. Virusul s-a răspândit pe scară largă în întreaga lume, primind acoperire activă în mass-media - Fontanka.ru, Gazeta.ru, RBC.

Această vulnerabilitate afectează PC-urile cu sistemul de operare Windows instalat de la XP la Windows 10 și Server 2016 puteți citi informațiile oficiale despre vulnerabilitate de la Microsoft și.

Această vulnerabilitate aparține clasei Executarea codului de la distanță, ceea ce înseamnă că infecția poate fi efectuată de pe un PC deja infectat printr-o rețea cu un nivel de securitate scăzut fără segmentare ME - rețele locale, rețele publice, rețele invitate, precum și prin lansarea de malware primit prin poștă sau ca link.

Măsuri de securitate

Ce măsuri ar trebui identificate ca fiind eficiente pentru combaterea acestui virus:

  1. Asigurați-vă că aveți instalate cele mai recente actualizări Microsoft Windows pentru a elimina vulnerabilitatea MS17-010. Puteți găsi link-uri către actualizări și, de asemenea, rețineți că, din cauza gravității fără precedent a acestei vulnerabilități, actualizări pentru sistemele de operare neacceptate (windowsXP, server 2003, server 2008) au fost lansate pe 13 mai, le puteți descărca.
  2. Când utilizați soluții de securitate de rețea de clasă IPS, asigurați-vă că aveți instalate actualizări care includ detectarea și atenuarea vulnerabilităților rețelei. Această vulnerabilitate este descrisă în baza de cunoștințe Check Point; este inclusă în actualizarea IPS din 14 martie 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). De asemenea, recomandăm configurarea scanării traficului intern pe segmente cheie de rețea folosind IPS, cel puțin pentru o perioadă scurtă de timp, până când probabilitatea de infecție scade.
  3. Datorită posibilității de modificări ale codului virusului, recomandăm activarea sistemelor AntiBot&Antivirus și emularea lansării fișierelor provenite din surse externe prin mail sau internet. Dacă sunteți utilizator Check Point Security Gateway, atunci acest sistem este Threat Emulation. În special pentru companiile care nu au acest abonament, oferim să-l obținem rapid în perioada de probă de 30 de zile. Pentru a solicita o cheie care activează un abonament cu funcții complete pentru poarta Check Point, scrieți la [email protected] Puteți citi mai multe despre sistemele de emulare de fișiere și.
De asemenea, blocați transferul arhivelor de parole și activați semnăturile IPS din listă:

Și mai multe recomandări și un exemplu de raport privind blocarea activității ransomware-ului Wannacry.

Stimați colegi, pe baza experienței de lucru cu atacuri masive anterioare, cum ar fi Heart Bleed, vulnerabilitatea Microsoft Windows MS17-010 va fi exploatată în mod activ în următoarele 30-40 de zile, nu întârziați contramăsurile! Pentru orice eventualitate, verificați funcționarea sistemului dvs. BackUp.

Riscul este chiar mare!

UPD. Joi, 18 mai, la ora 10.00, ora Moscovei, vă invităm la un webinar despre ransomware și metode de protecție.

Webinarul este condus de TS Solution și Sergey Nevstruev, Director de vânzări Check Point Threat Prevention Europa de Est.
Vom acoperi următoarele întrebări:

  • Atacul #WannaCry
  • Domeniul de aplicare și starea actuală
  • Particularități
  • Factori de masă
Recomandări de securitate

Cum să fii cu un pas înainte și să dormi liniștit

  • IPS+AM
  • SandBlast: Emularea amenințărilor și Extracția amenințărilor
  • Agent SandBlast: Anti-Ransomware
  • Agent SandBlast: criminalistică
  • Agent SandBlast: Anti-Bot
Vă puteți înregistra răspunzând la această scrisoare sau urmând linkul de înregistrare

Pe 12 mai, în jurul orei 13:00, virusul Wana Decryptor a început să se răspândească. În aproape câteva ore, zeci de mii de computere din întreaga lume au fost infectate. Până în prezent, au fost confirmate peste 45.000 de computere infectate.

Cu peste 40 de mii de hack-uri în 74 de țări, utilizatorii de internet din întreaga lume au fost martorii celui mai mare atac cibernetic din istorie. Lista victimelor include nu numai oameni obișnuiți, ci și servere ale băncilor, companiilor de telecomunicații și chiar agențiilor de aplicare a legii.

Calculatoarele atât ale utilizatorilor obișnuiți, cât și ale computerelor de lucru din diferite organizații, inclusiv Ministerul rus al Afacerilor Interne, au fost infectate cu virusul ransomware Wanna Cry. Din păcate, în acest moment nu există nicio modalitate de a decripta fișierele WNCRY, dar puteți încerca să recuperați fișierele criptate folosind programe precum ShadowExplorer și PhotoRec.

Patch-uri oficiale de la Microsoft pentru a proteja împotriva virusului Wanna Cry:

  • Windows 7 32bit/x64
  • Windows 10 32 biți/x64
  • Windows XP 32 biți/x64 - nici un patch de la WCry.

Cum să te protejezi de virusul Wanna Cry

Vă puteți proteja de virusul Wanna Cry descărcând un patch pentru versiunea dvs. de Windows.

Cum se răspândește Wanna Cry

Wanna Cry este distribuit:

  • prin fișiere
  • mesaje e-mail.

După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.
Utilizatorii obișnuiți raportează, de asemenea, infecții pe forumuri și rețele sociale:

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost descoperit un atac ransomware WannaCryptor (WannaCry) la scară largă, care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Programul cere 300 USD în bitcoins (aproximativ 17.000 de ruble) ca răscumpărare pentru decriptare.

Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Vă spunem ce trebuie să faceți acum pentru a evita infecția.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele casnice ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

5. Pentru a detecta amenințări încă necunoscute, produsele noastre utilizează tehnologii comportamentale și euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Astfel, sistemul cloud ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect pentru virusul Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima descoperire a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și este adesea numit cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, a existat prima sa versiune Vrei să Decrypt0r, principala diferență fiind metoda de distribuire. Această primă variantă nu era la fel de cunoscută ca fratele său mai mic, dar din această cauză, în unele știri, noul virus ransomware este numit pe numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Wana Decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, care ne conduce la nume Wana Decryptor sau WanaDecryptor.

Și numele de familie prin care utilizatorii numesc adesea acest virus ransomware este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au fost criptate.

Pentru a minimiza riscul ca virusul Wanna Cru să pătrundă pe computer, specialiștii Kaspersky Lab vă recomandă să instalați toate actualizările posibile pentru versiunea curentă de Windows. Cert este că malware-ul infectează numai acele computere care rulează acest software.

Virusul Wanna Cry: Cum se răspândește

Anterior, am menționat această metodă de răspândire a virușilor într-un articol despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită după cum urmează: O scrisoare este trimisă în căsuța poștală a utilizatorului cu un atașament „inofensiv” - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea o extensie de fișier executabil. - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului, relatează therussiantimes.com.

Virusul Wanna Cry: descrierea virusului

Wanna Cry (oamenii de rând l-au poreclit deja Wona's Edge) aparține categoriei de viruși ransomware (criptori), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, făcând ulterior imposibilă citirea acestor fișiere.
În prezent, se știe că următoarele extensii de fișiere populare sunt supuse criptării Wanna Cry:

Fișiere Microsoft Office populare (.xlsx, rapoarte therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0, care atacă exclusiv computerele care rulează sistemul de operare Windows. Programul exploatează o „gaură” în sistem - Buletinul de securitate Microsoft MS17-010, a cărui existență era necunoscută anterior. Programul necesită o răscumpărare de la 300 la 600 USD pentru decriptare. Apropo, în prezent, potrivit The Guardian, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor.

În primul rând, este important ca ransomware-ul WannaCry să existe numai pentru Windows. Dacă dispozitivul dvs. folosește macOS, iOS, Android, Linux sau orice altceva ca sistem de operare, atunci acest malware nu reprezintă o amenințare pentru acesta.

Dar pentru dispozitivele Windows este valabil. Dar diferite versiuni de Windows necesită patch-uri diferite. Deci, înainte de a instala ceva, trebuie să vă dați seama ce versiune de Windows aveți.

Acest lucru se face astfel:

  • Apăsați simultan tastele și [R] de pe tastatură.
  • În fereastra care apare, introduceți winver și faceți clic pe OK.

Fereastra care apare va indica versiunea Windows.

2. Instalați patch-ul MS17-010, care închide vulnerabilitatea Windows

Când faceți clic pe linkul dorit, va fi descărcat un fișier executabil cu extensia MSU cu actualizarea necesară. Faceți clic pe el și apoi urmați instrucțiunile asistentului de instalare. După finalizarea instalării, reporniți sistemul pentru orice eventualitate. Gata - vulnerabilitatea este închisă, WannaCry nu va intra doar în computerul dvs.

3. Verificați computerul pentru viruși

Este posibil ca WannaCry să fi reușit să intre pe computerul tău înainte să închizi vulnerabilitatea. Deci, pentru orice eventualitate, ar trebui să verificați computerul pentru viruși.

Dacă nu aveți un antivirus, descărcați o versiune gratuită de 30 de zile a Kaspersky Internet Security. Dacă aveți deja instalată o soluție de securitate Kaspersky Lab, procedați astfel.

  • Asigurați-vă că aveți activat modulul de monitorizare a activității. Pentru a face acest lucru, accesați setări, selectați secțiunea Protecție și asigurați-vă că scrie Activat lângă Monitorizarea activității.
  • Rulați o scanare rapidă a computerului pentru viruși. Pentru a face acest lucru, în interfața soluției antivirus, selectați secțiunea Scanare, în ea selectați elementul Scanare rapidă, apoi faceți clic pe Run scan.
  • Dacă antivirusul detectează malware cu verdictul Trojan.Win64.EquationDrug.gen, acesta trebuie eliminat și apoi repornit.

Gata, ești protejat de WannaCry. Acum aveți grijă de familia și prietenii care nu știu să-și protejeze singuri dispozitivele.

În acest articol vom analiza metodologia de utilizare a funcționalității Manager de resurse server de fișiere (FSRM) pe serverul de fișiere Windows Server 2012 R2 pentru depistare şi blocare lucru viruși ransomware(troieni codificatori, ransomware sau CryptoLocker). În special, ne vom da seama cum să instalăm serviciul FSRM, să configuram detectarea anumitor tipuri de fișiere și, dacă astfel de fișiere sunt detectate, să blocăm accesul utilizatorului la un director de pe serverul de fișiere.

Detectarea ransomware folosind FSRM

Dacă File Server Resource Manager nu este deja instalat pe serverul dvs., îl puteți instala folosind consola grafică Server Manager sau din linia de comandă PowerShell:

Instalare-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Să verificăm dacă rolul este instalat:

Get-WindowsFeature -Name FS-Resource-Manager

După instalarea componentei, serverul trebuie repornit.

Configurarea parametrilor SMTP FSRM pentru trimiterea notificărilor prin e-mail

Următorul pas este configurarea parametrilor SMTP ai serviciului FSRM, datorită cărora administratorul poate configura trimiterea notificărilor prin e-mail către căsuța sa poștală. Pentru a face acest lucru, lansați consola fsrm.msc, faceți clic dreapta pe rădăcina consolei File Server Resource Manager și selectați ConfigurațiOpțiuni.

Specificați adresa serverului SMTP, căsuța poștală a administratorului și numele expeditorului.

Puteți verifica corectitudinea setărilor serverului SMTP trimițând o scrisoare de test folosind butonul Trimite e-mail de testare.

De asemenea, puteți configura setările SMTP ale serviciului FSRM utilizând Powershell:

Set-FsrmSetting -AdminEmailAddress " [email protected]„ –smtpserver smtp.adatum.com –FromEmailAddress „ [email protected]"

Crearea unui grup de extensii de fișiere create de ransomware

Următorul pas este să creați un grup de fișiere care va conține extensii cunoscute și nume de fișiere pe care ransomware-ul le creează în timpul funcționării sale.

Această listă poate fi setată din consola FSRM. Pentru a face acest lucru, extindeți capitolFile Screening Management -> File Groupsși selectați din meniu Creați grup de fișiere.

Trebuie să specificați numele grupului (de exemplu, Crypto-fișiere) și adăugați toate extensiile cunoscute la listă folosind câmpul Fișiere de inclus.

Lista extensiilor de fișiere cunoscute create de ransomware este destul de mare, așa că este mult mai ușor să creați una folosind PowerShell.

În Windows Server 2012, puteți crea un grup de fișiere folosind PowerShell astfel:

New-FsrmFileGroup -Nume „Crypto-files” –IncludePattern @(“_Locky_recover_instructions.txt”, „DECRYPT_INSTRUCTIONS.TXT”, „DECRYPT_INSTRUCTION.TXT”, „HELP_DECRYPT.TXT”, „HELP_DECRYPT.TXT”, „HELP_DECRYPT. „enc_files.txt”, „HowDecrypt.txt”, „How_Decrypt.txt”, „How_Decrypt.html”, „HELP_RESTORE_FILES.txt”, „restore_files*.txt”, „restore_files.txt”, „RECOVERY_KEY.TXT”, „ cum să decriptați aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*. locky","*.ezz", "*.ecc", "*.exx", "*.7z.criptat", "*.ctbl", "*.criptat", "*.aaa", "*. xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")

În Windows Server 2008 R2 va trebui să utilizați utilitarul filescrn.exe:

filescrn.exe filegroup add /filegroup:"Crypto-fișiere" /members:"DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTION.TXT| DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt|HOW_DECRYPT. _RES TORE_FILES .txt |. HELP_TO_SAVE_FILES.txt |. restore_files .txt|*.locky|*.ezz|*.ecc|*.7z.encrypted|*.ctbl| *.aa|*.xtbl| *.EnCiPhErEd|*.cryptolocker|* .micro|*.vvv| *.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*. vvv|*.xxx|. |*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf|*.XRNT|*.XTBL|*.crypt|*.R16M01D05| *.pzdc|*. bine|. *.LOL!|*.OMG!|*.RDM|*.encryptedRSA|*.crjoker|*.keybtc@inbox_com|*.0x0|. bleep|*.1999|. *.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky"

Sfaturi. Puteți compila singuri o listă de extensii de fișiere cunoscute pentru diferite programe de ransomware sau puteți utiliza liste gata făcute, actualizate periodic, întreținute de entuziaști:

https://www.bleib-virenfrei.de/ransomware/

https://fsrm.experiant.ca/api/v1/combined

În al doilea caz, lista curentă de extensii de fișiere pentru FSRM poate fi descărcată direct de pe serverul web folosind

new-FsrmFileGroup -name „Grupuri de fișiere anti-Ransomware” -IncludePattern @((Invoke-WebRequest -Uri „https://fsrm.experiant.ca/api/v1/combined”).content | convertfrom-json | % ($ _.filtre))

Sau utilizați un fișier gata făcut: . Acest fișier poate fi salvat pe disc și utilizat pentru a actualiza grupul creat de fișiere FSRM:

$ext_list = Obține conținut .\crypto_extensions.txt
Set-FsrmFileGroup -Nume „Crypto-files” -IncludePattern ($ext_list)

Configurarea șabloanelor de ecran de fișiere

Să creăm un nou șablon de ecran de fișiere care definește acțiunile pe care FSRM ar trebui să le facă atunci când întâlnește fișierele specificate. Pentru a face acest lucru, în consola FSRM, accesați secțiunea File Screen Management -> File Screen Templates. Să creăm un șablon nou Creați șablon de ecran de fișier.

În fila de setări, specificați numele șablonului „ Block_crypto_files”, tip de screening – Screening activ(este interzis să creați tipurile de fișiere specificate) și selectați Crypto-Files din lista de grupuri de fișiere.

Pe fila Mesaj de e-mail Să activăm trimiterea notificărilor prin e-mail, personalizând textul de notificare după bunul plac.

Pe fila Eveniment Jurnal activați înregistrarea evenimentelor în jurnalul de sistem. Cu instrucțiunea de a înregistra doar numele de utilizator:

Pe fila Comanda Puteți specifica acțiunea de întreprins atunci când acest tip de fișier este detectat. Mai multe despre asta mai jos.

Salvați modificările. Un altul ar trebui să apară în lista de șabloane.

Aplicarea unui șablon File Screen pe o unitate sau un folder

Tot ce rămâne este să atribuiți șablonul creat unei unități sau unui folder de rețea de pe server. Să creăm o nouă regulă în consola FSRM.

În câmpul File screen path, trebuie să specificăm unitatea locală sau calea către directorul pentru care dorim să activăm protecția împotriva ransomware, iar în lista de șabloane, selectați șablonul Block_crypto_files creat mai devreme.

Blocarea automată a accesului pentru un utilizator infectat cu ransomware

Tot ce rămâne este să configurați acțiunea pe care FSRM o va efectua atunci când detectează fișierele create de ransomware. Vom folosi un script gata făcut: Protejați-vă serverul de fișiere împotriva ransomware-ului utilizând FSRM și Powershell(https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce). Ce face acest script? Când încercați să scrieți un tip de fișier „interzis” într-un director de rețea, FSRM rulează acest script, care analizează jurnalul de evenimente și la nivel de partajare interzice să scrie utilizatorului care a încercat să scrie tipul de fișier interzis. Astfel, vom bloca accesul utilizatorului infectat la folderul de rețea.

Descărcați scriptul specificat și despachetați-l în rădăcina directorului C:\ de pe serverul de fișiere. Copiați utilitarul în același folder (necesar pentru a schimba permisiunile pe un director de rețea). Catalogul trebuie să conțină următoarele fisiere:

  • StartRansomwareBlockSmb.cmd
  • subinacl.exe

Nota. În scriptul PS a trebuit să schimb liniile:

$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"

if ($Rule -match "Crypto-Files")

Rămânând în setările șablonului „Blocați fișierele criptografice” din filă Comanda specificați că linia de comandă trebuie lansată cu argumentul StartRansomwareBlockSmb.cmd:

Rulați această comandă sau script: c:\windows\system32\cmd.exe

Argumente de comandă: /c „c:\StartRansomwareBlockSmb.cmd”

Comanda trebuie executată cu drepturi de sistem local ( LocalSistem).

Testare de securitate FSRM

Să testăm cum funcționează protecția FSRM împotriva ransomware. Pentru a face acest lucru, să creăm un fișier cu o extensie arbitrară în directorul protejat și să încercăm să-l schimbăm în cel interzis.locky.

ID eveniment: 8215
Sursa: SRMSVC

Scriptul RansomwareBlockSmb.ps1, bazat pe datele de la eveniment, va interzice utilizatorului curent accesul la acest director prin setarea refuzului personal în permisiunile pe partajare:

Protecția funcționează! La rădăcina discului din jurnal puteți vedea directorul și utilizatorul în care a încercat să ruleze ransomware-ul.

Dacă trebuie să oferiți un nivel și mai ridicat de securitate, puteți trece de la o listă neagră de fișiere la o listă albă, când pe serverul de fișiere pot fi stocate numai tipurile de fișiere permise.

Așadar, am analizat cum să folosim FSRM pentru a bloca automat accesul la directoarele de rețea pentru utilizatorii ale căror computere sunt infectate cu un virus ransomware. Desigur, utilizarea FSRM în acest mod nu poate oferi o garanție de 100% a protecției fișierelor de pe servere de această clasă de viruși, dar ca unul dintre eșaloanele de protecție, tehnica este destul de potrivită. În următoarele articole, vom analiza mai multe opțiuni pentru contracararea virușilor ransomware.