Về việc cập nhật Windows khỏi virus ransomware WannaCry. Cách bảo vệ bạn khỏi cuộc tấn công của ransomware WannaCry

Một trong những cách chống virus ransomware là cấm đổi tên file. Nếu chúng tôi biết tệp sẽ nhận được tiện ích mở rộng nào sau khi mã hóa nó bằng vi-rút, thì chúng tôi có thể chỉ cần cấm tạo tệp bằng tiện ích mở rộng này. Chúng tôi cũng sẽ cấm tạo các tệp văn bản đã biết có chứa nhu cầu về ransomware, do đó sẽ giúp bảo vệ khỏi vi-rút không thay đổi phần mở rộng tệp trong quá trình mã hóa.

Cài đặt Trình quản lý tài nguyên máy chủ tệp và định cấu hình mẫu.

Trước tiên, hãy cài đặt vai trò “Trình quản lý tài nguyên máy chủ tệp”. Điều này có thể được thực hiện thông qua Trình quản lý máy chủ hoặc thông qua Quyền lực. Hãy xem xét lựa chọn thứ hai:

Cài đặt-WindowsFeature FS-Resource-Manager -Include ManagementTools

Sau khi cài đặt FSRM, hãy nhớ khởi động lại máy chủ.

Sau khi khởi động lại Bắt đầu -> Chạy -> fsrm.msc

Hãy tạo một nhóm Nhóm tệp chống ransomware và thêm một số tiện ích mở rộng mà chúng tôi muốn chặn.

Việc thêm mọi thứ theo cách thủ công mất nhiều thời gian, vì vậy chúng tôi tự động hóa quy trình. Chúng tôi sẽ lấy danh sách các tiện ích mở rộng bị cấm từ trang web https://fsrm.experiant.ca

Hãy tạo và chạy tập lệnh Powershell với tư cách quản trị viên.

$gr_name = "Nhóm tệp chống ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).content | chuyển đổi từ-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

Sau khi thực thi script, chúng ta kiểm tra nhóm Nhóm tệp chống ransomware, các phần mở rộng và tên tệp bị chặn sẽ xuất hiện trong đó.

Trong cài đặt mẫu, chọn một nhóm Nhóm tệp chống ransomware nhấn Được rồi. Ngoài ra, bạn có thể thiết lập cảnh báo qua email, nhập nhật ký hoặc khởi chạy tập lệnh hoặc chương trình dựa trên một sự kiện.

Cuối cùng, vào phần Bộ lọc chặn tệp.

Ở đây chúng tôi chỉ ra đường dẫn đến thư mục cần được bảo vệ và mẫu được sử dụng.

Kết quả là, khi bạn cố gắng thay đổi phần mở rộng tệp thành phần mở rộng có trong danh sách của chúng tôi Nhóm tệp chống ransomware chúng ta sẽ nhận được lệnh cấm ghi âm.

Chặn người dùng bị nhiễm bệnh.

Sau khi phát hiện thấy sự lây nhiễm, bạn cần thực hiện hành động chống lại nguồn gốc của mối đe dọa. Cần phải từ chối quyền truy cập vào thư mục dùng chung đối với người dùng đã bắt được ransomware trên máy tính của họ. Để làm điều này, chúng tôi sẽ đặt nó vào đĩa C:\ tài liệu SmbBlock.ps1 với nội dung sau:

Thông số($tên người dùng = “”) Get-SmbShare -Đặc biệt $false | ForEach-Object ( Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force )

Hãy quay trở lại Chặn các mẫu bộ lọc và chọn tab Đội.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Command "& (C:\smbblock.ps1 -tên người dùng ‘’)"

Do việc thực thi tập lệnh, người dùng bị nhiễm sẽ nhận được lệnh cấm cá nhân vào thư mục.

Phương pháp bảo vệ này không phải là giải pháp tuyệt đối cho vấn đề này vì Những kẻ viết virus không đứng yên, nhưng với tư cách là một trong những thành phần bảo vệ toàn diện, nó khá có thể áp dụng được.

Một làn sóng virus mã hóa mới WannaCry (tên khác Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) đã càn quét khắp thế giới, mã hóa tài liệu trên máy tính và đòi 300-600 USD để giải mã. Làm thế nào bạn có thể biết máy tính của bạn có bị nhiễm virus hay không? Bạn nên làm gì để tránh trở thành nạn nhân? Và phải làm gì để phục hồi?

Sau khi cài đặt các bản cập nhật, bạn sẽ cần phải khởi động lại máy tính của mình.

Làm cách nào để phục hồi khỏi virus ransomware Wana Decrypt0r?

Tiện ích diệt virus khi phát hiện có virus sẽ loại bỏ ngay hoặc hỏi bạn có nên xử lý hay không? Câu trả lời là để điều trị.

Làm cách nào để khôi phục các tập tin được mã hóa bởi Wana Decryptor?

Chúng tôi không thể nói bất cứ điều gì yên tâm vào lúc này. Chưa có công cụ giải mã tập tin nào được tạo. Hiện tại, tất cả những gì còn lại là đợi cho đến khi bộ giải mã được phát triển.

Theo Brian Krebs, chuyên gia bảo mật máy tính, hiện tại bọn tội phạm mới nhận được 26.000 USD, tức chỉ có khoảng 58 người đồng ý trả tiền chuộc cho những kẻ tống tiền. Không ai biết liệu họ có khôi phục được tài liệu của mình hay không.

Làm thế nào để ngăn chặn sự lây lan của virus trực tuyến?

Trong trường hợp của WannaCry, giải pháp cho vấn đề có thể là chặn cổng 445 trên Tường lửa, nơi lây nhiễm xảy ra.

Phần mềm độc hại ransomware mới WannaCry (còn có một số tên khác - WannaCry Decryptor, WannaCrypt, WCry và WanaCrypt0r 2.0) được cả thế giới biết đến vào ngày 12 tháng 5 năm 2017, khi các tập tin trên máy tính ở một số tổ chức chăm sóc sức khỏe ở Anh bị mã hóa . Mọi việc nhanh chóng trở nên rõ ràng, các công ty ở hàng chục quốc gia cũng rơi vào tình huống tương tự và Nga, Ukraine, Ấn Độ và Đài Loan là những nước chịu thiệt hại nặng nề nhất. Theo Kaspersky Lab, chỉ trong ngày đầu tiên của cuộc tấn công, virus đã được phát hiện ở 74 quốc gia.

Tại sao WannaCry nguy hiểm? Virus mã hóa nhiều loại tệp khác nhau (sử dụng phần mở rộng .WCRY, khiến các tệp hoàn toàn không thể đọc được) và sau đó yêu cầu khoản tiền chuộc là 600 USD để giải mã. Để đẩy nhanh thủ tục chuyển tiền, người dùng bị đe dọa bởi thực tế là sau ba ngày, số tiền chuộc sẽ tăng lên và sau bảy ngày, các tập tin sẽ không thể giải mã được nữa.

Máy tính chạy hệ điều hành Windows có nguy cơ bị nhiễm virus ransomware WannaCry. Nếu bạn sử dụng các phiên bản Windows được cấp phép và thường xuyên cập nhật hệ thống của mình, bạn không phải lo lắng về việc vi-rút xâm nhập vào hệ thống của mình theo cách này.

Người dùng MacOS, ChromeOS và Linux cũng như hệ điều hành di động iOS và Android hoàn toàn không nên lo sợ trước các cuộc tấn công của WannaCry.

Phải làm gì nếu bạn là nạn nhân của WannaCry?

Cơ quan Tội phạm Quốc gia (NCA) của Vương quốc Anh khuyến nghị các doanh nghiệp nhỏ từng là nạn nhân của ransomware và lo ngại về việc vi-rút lây lan trực tuyến nên thực hiện các hành động sau:

Ngay lập tức cách ly máy tính, máy tính xách tay hoặc máy tính bảng của bạn khỏi mạng nội bộ/công ty của bạn. Tắt Wi-Fi.
Thay đổi trình điều khiển.
Nếu không kết nối với mạng Wi-Fi, hãy kết nối máy tính của bạn trực tiếp với Internet.
Cập nhật hệ điều hành của bạn và tất cả các phần mềm khác.
Cập nhật và chạy phần mềm chống vi-rút của bạn.
Kết nối lại với mạng.
Giám sát lưu lượng mạng và/hoặc chạy quét vi-rút để đảm bảo rằng phần mềm tống tiền đã biến mất.

Quan trọng!

Các tập tin bị mã hóa bởi virus WannaCry không ai có thể giải mã được ngoại trừ những kẻ tấn công. Vì vậy, đừng lãng phí thời gian và tiền bạc cho những “thiên tài CNTT” hứa hẹn sẽ cứu bạn khỏi cơn đau đầu này.

Có đáng để trả tiền cho những kẻ tấn công?

Những câu hỏi đầu tiên mà người dùng đặt ra khi đối mặt với virus ransomware WannaCry mới là: cách khôi phục tập tin và cách loại bỏ vi-rút. Không tìm được giải pháp miễn phí và hiệu quả, họ đứng trước sự lựa chọn: trả tiền cho kẻ tống tiền hay không? Vì người dùng thường có thứ gì đó để mất (tài liệu cá nhân và kho lưu trữ ảnh được lưu trữ trên máy tính), mong muốn giải quyết vấn đề bằng tiền thực sự nảy sinh.

Nhưng NCA đang thúc giục mạnh mẽ Khôngtrả tiền. Nếu bạn quyết định làm điều này, hãy ghi nhớ những điều sau:

Đầu tiên, không có gì đảm bảo rằng bạn sẽ có quyền truy cập vào dữ liệu của mình.
Thứ hai, máy tính của bạn có thể vẫn bị nhiễm virus ngay cả sau khi thanh toán.
Thứ ba, rất có thể bạn sẽ chỉ đưa tiền của mình cho tội phạm mạng.

Làm thế nào để bảo vệ bạn khỏi WannaCry?

Vyacheslav Belashov, người đứng đầu bộ phận triển khai hệ thống bảo mật thông tin tại SKB Kontur, giải thích những hành động cần thực hiện để ngăn ngừa lây nhiễm vi-rút:

Điểm đặc biệt của virus WannaCry là nó có thể xâm nhập vào hệ thống mà không cần sự can thiệp của con người, không giống như các loại virus mã hóa khác. Trước đây, để vi-rút hoạt động, người dùng cần phải thiếu chú ý - nhấp vào một liên kết đáng ngờ từ một email thực sự không dành cho mình hoặc tải xuống một tệp đính kèm độc hại. Trong trường hợp của WannaCry, một lỗ hổng tồn tại trực tiếp trong chính hệ điều hành đã bị khai thác. Do đó, các máy tính chạy Windows không cài đặt bản cập nhật ngày 14 tháng 3 năm 2017 chủ yếu gặp rủi ro. Một máy trạm bị nhiễm trên mạng cục bộ là đủ để vi-rút lây lan sang những máy khác có lỗ hổng hiện có.

Người dùng bị ảnh hưởng bởi virus đương nhiên có một câu hỏi chính: làm thế nào để giải mã thông tin của họ? Thật không may, vẫn chưa có giải pháp đảm bảo nào và khó có thể đoán trước được. Ngay cả sau khi trả số tiền quy định, vấn đề vẫn không được giải quyết. Ngoài ra, tình hình có thể trở nên trầm trọng hơn khi một người, với hy vọng khôi phục dữ liệu của mình, có nguy cơ sử dụng các bộ giải mã được cho là "miễn phí", nhưng trên thực tế cũng là các tệp độc hại. Vì vậy, lời khuyên chính có thể được đưa ra là hãy cẩn thận và làm mọi cách có thể để tránh tình trạng như vậy.

Chính xác những gì có thể và nên làm vào lúc này:

1. Cài đặt các bản cập nhật mới nhất.

Điều này không chỉ áp dụng cho hệ điều hành mà còn áp dụng cho các công cụ bảo vệ chống vi-rút. Thông tin về việc cập nhật Windows có thể được tìm thấy ở đây.

2. Tạo bản sao lưu các thông tin quan trọng.

3. Hãy cẩn thận khi làm việc với thư tín và Internet.

Bạn cần chú ý đến những email đến có liên kết và tệp đính kèm đáng ngờ. Để làm việc với Internet, bạn nên sử dụng các plugin cho phép bạn loại bỏ các quảng cáo không cần thiết và liên kết đến các nguồn độc hại tiềm ẩn.

Vào khoảng 1 giờ chiều ngày 12 tháng 5, virus Wana Decryptor bắt đầu lây lan. Trong gần vài giờ, hàng chục nghìn máy tính trên khắp thế giới đã bị nhiễm virus. Cho đến nay, hơn 45.000 máy tính bị nhiễm đã được xác nhận.

Với hơn 40 nghìn vụ hack tại 74 quốc gia, người dùng Internet trên toàn thế giới đã chứng kiến vụ tấn công mạng lớn nhất trong lịch sử. Danh sách nạn nhân không chỉ bao gồm người dân bình thường mà còn có máy chủ của các ngân hàng, công ty viễn thông và thậm chí cả các cơ quan thực thi pháp luật.

Máy tính của cả người dùng thông thường và máy tính làm việc ở nhiều tổ chức khác nhau, bao gồm cả Bộ Nội vụ Nga, đều bị nhiễm virus ransomware Wanna Cry. Thật không may, hiện tại không có cách nào để giải mã các tệp WNCRY, nhưng bạn có thể thử khôi phục các tệp được mã hóa bằng các chương trình như ShadowExplorer và PhotoRec.

Các bản vá chính thức của Microsoft để bảo vệ chống lại virus Wanna Cry:

Windows 7 32bit/x64
Windows 10 32bit/x64
Windows XP 32 bit/x64 - không có bản vá từ WCry.

Cách bảo vệ bạn khỏi virus Wanna Cry

Bạn có thể tự bảo vệ mình khỏi virus Wanna Cry bằng cách tải xuống bản vá cho phiên bản Windows của mình.

Wanna Cry lây lan như thế nào

Wanna Cry được phân phối:

thông qua các tập tin
tin nhắn thư.

Theo truyền thông Nga đưa tin, công việc của các cơ quan thuộc Bộ Nội vụ ở một số vùng của Nga đã bị gián đoạn do một loại ransomware đã lây nhiễm sang nhiều máy tính và đe dọa phá hủy toàn bộ dữ liệu. Ngoài ra, nhà điều hành truyền thông Megafon cũng bị tấn công.

Chúng ta đang nói về Trojan ransomware WCry (WannaCry hoặc WannaCryptor). Anh ta mã hóa thông tin trên máy tính và yêu cầu khoản tiền chuộc là 300 USD hoặc 600 USD bằng Bitcoin để giải mã.
Người dùng thông thường cũng báo cáo tình trạng lây nhiễm trên các diễn đàn và mạng xã hội:

Dịch mã hóa WannaCry: phải làm gì để tránh bị lây nhiễm Hướng dẫn từng bước một

Tối 12/5, một cuộc tấn công ransomware WannaCryptor (WannaCry) quy mô lớn đã được phát hiện, mã hóa toàn bộ dữ liệu trên PC và laptop chạy Windows. Chương trình yêu cầu 300 đô la bitcoin (khoảng 17.000 rúp) làm tiền chuộc để giải mã.

Cú đánh chính rơi vào người dùng và các công ty Nga. Hiện tại, WannaCry đã lây nhiễm khoảng 57.000 máy tính, bao gồm các mạng công ty của Bộ Nội vụ, Đường sắt Nga và Megafon. Sberbank và Bộ Y tế cũng báo cáo các cuộc tấn công vào hệ thống của họ.

Chúng tôi cho bạn biết những gì bạn cần làm ngay bây giờ để tránh nhiễm trùng.

1. Bộ mã hóa khai thác lỗ hổng của Microsoft vào tháng 3 năm 2017. Để giảm thiểu mối đe dọa, bạn phải cập nhật khẩn cấp phiên bản Windows của mình:

Bắt đầu - Tất cả chương trình - Windows Update - Tìm kiếm bản cập nhật - Tải xuống và cài đặt

2. Ngay cả khi hệ thống không được cập nhật và WannaCry đã xâm nhập vào máy tính, cả giải pháp doanh nghiệp và gia đình ESET NOD32 đều phát hiện và chặn thành công tất cả các sửa đổi của nó.

5. Để phát hiện các mối đe dọa chưa xác định, các sản phẩm của chúng tôi sử dụng công nghệ hành vi và phỏng đoán. Nếu vi-rút hoạt động giống vi-rút thì rất có thể đó là vi-rút. Như vậy, hệ thống đám mây ESET LiveGrid đã đẩy lùi thành công cuộc tấn công từ ngày 12 tháng 5, ngay cả trước khi cơ sở dữ liệu chữ ký được cập nhật.

Tên chính xác của virus Wana Decryptor, WanaCrypt0r, Wanna Cry hay Wana Decrypt0r là gì?

Kể từ lần đầu tiên phát hiện ra loại virus này, nhiều thông báo khác nhau về loại virus ransomware này đã xuất hiện trên mạng và nó thường được gọi bằng những cái tên khác nhau. Điều này xảy ra vì một số lý do. Trước khi virus Wana Decrypt0r xuất hiện, nó đã có phiên bản đầu tiên Muốn giải mã0r, sự khác biệt chính là phương pháp phân phối. Biến thể đầu tiên này không được biết đến rộng rãi như người em của nó, nhưng do đó, trong một số bản tin, virus ransomware mới được gọi bằng tên của người anh trai của nó là Wanna Cry, Wanna Decryptor.

Nhưng tên chính vẫn là Wana Decrypt0r, mặc dù hầu hết người dùng thay vì số "0" hãy nhập chữ "o", dẫn đến tên Bộ giải mã Wana hoặc Bộ giải mã Wana.

Và cái tên cuối cùng mà người dùng thường gọi virus ransomware này là virus WNCRY, tức là bằng phần mở rộng được thêm vào tên của các tệp đã được mã hóa.

Để giảm thiểu nguy cơ virus Wanna Cru xâm nhập vào máy tính của bạn, các chuyên gia của Kaspersky Lab khuyên bạn nên cài đặt tất cả các bản cập nhật có thể có trên phiên bản Windows hiện tại. Thực tế là phần mềm độc hại chỉ lây nhiễm vào những máy tính chạy phần mềm này.

Virus Wanna Cry: Cách thức lây lan

Trước đây, chúng tôi đã đề cập đến phương pháp phát tán virus này trong một bài viết về hành vi an toàn trên Internet nên nó không có gì mới.

Wanna Cry được phân phối như sau: Một lá thư được gửi đến hộp thư của người dùng kèm theo phần đính kèm “vô hại” - nó có thể là hình ảnh, video, bài hát, nhưng thay vì phần mở rộng tiêu chuẩn cho các định dạng này, phần đính kèm sẽ có phần mở rộng tệp thực thi - exe. Khi một tệp như vậy được mở và khởi chạy, hệ thống sẽ bị “nhiễm” và thông qua một lỗ hổng, vi-rút sẽ được tải trực tiếp vào hệ điều hành Windows, mã hóa dữ liệu người dùng, therussiantimes.com đưa tin.

Virus Wanna Cry: mô tả về virus

Wanna Cry (thường dân đã đặt biệt danh cho nó là Wona's Edge) thuộc loại vi-rút ransomware (mật mã), khi xâm nhập vào PC, chúng sẽ mã hóa các tệp người dùng bằng thuật toán mã hóa, sau đó khiến nó không thể đọc được các tệp này.
Hiện tại, các phần mở rộng tệp phổ biến sau đây được biết là có thể bị mã hóa Wanna Cry:

Các tệp Microsoft Office phổ biến (.xlsx, báo cáo therussiantimes.com.xls, .docx, .doc).
Các tệp lưu trữ và phương tiện (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry là một chương trình có tên WanaCrypt0r 2.0, chuyên tấn công các PC chạy hệ điều hành Windows. Chương trình khai thác một “lỗ hổng” trong hệ thống - Microsoft Security Bulletin MS17-010, sự tồn tại của lỗ hổng này trước đây chưa được biết đến. Chương trình yêu cầu tiền chuộc từ $300 đến $600 để giải mã. Nhân tiện, hiện tại, theo The Guardian, hơn 42 nghìn đô la đã được chuyển vào tài khoản của tin tặc.

Trong bài viết này chúng tôi sẽ phân tích phương pháp sử dụng chức năng Trình quản lý tài nguyên máy chủ tệp (FSRM) trên máy chủ tập tin Máy chủ Windows 2012 R2để phát hiện và chặn công việc virus ransomware(Trojan mã hóa, Ransomware hoặc CryptoLocker). Cụ thể, chúng tôi sẽ tìm ra cách cài đặt dịch vụ FSRM, định cấu hình phát hiện các loại tệp nhất định và nếu phát hiện thấy các tệp đó, hãy chặn quyền truy cập của người dùng vào một thư mục trên máy chủ tệp.

Phát hiện ransomware bằng FSRM

Nếu Trình quản lý tài nguyên máy chủ tệp chưa được cài đặt trên máy chủ của bạn, bạn có thể cài đặt nó bằng bảng điều khiển đồ họa Trình quản lý máy chủ hoặc từ dòng lệnh PowerShell:

Cài đặt-WindowsFeature FS-Resource-Manager -Include ManagementTools

Hãy kiểm tra xem vai trò đã được cài đặt chưa:

Get-WindowsFeature -Name FS-Resource-Manager

Sau khi cài đặt thành phần, máy chủ phải được khởi động lại.

Định cấu hình tham số SMTP FSRM để gửi thông báo qua email

Bước tiếp theo là định cấu hình các tham số SMTP của dịch vụ FSRM, nhờ đó quản trị viên có thể định cấu hình gửi thông báo email đến hộp thư của mình. Để thực hiện việc này, hãy khởi chạy bảng điều khiển fsrm.msc, nhấp chuột phải vào thư mục gốc của bảng điều khiển Trình quản lý tài nguyên máy chủ tệp và chọn Cấu hìnhTùy chọn.

Chỉ định địa chỉ máy chủ SMTP, hộp thư quản trị viên và tên người gửi.

Bạn có thể kiểm tra tính chính xác của cài đặt máy chủ SMTP bằng cách gửi thư kiểm tra bằng nút Gửi email kiểm tra.

Bạn cũng có thể định cấu hình cài đặt SMTP của dịch vụ FSRM bằng Powershell:

Set-FsrmSetting -AdminEmailAddress " [email được bảo vệ]" –smtpserver smtp.adatum.com –FromEmailAddress " [email được bảo vệ]"

Tạo nhóm file đuôi mở rộng được tạo bởi ransomware

Bước tiếp theo là tạo một nhóm tệp chứa các phần mở rộng và tên tệp đã biết mà ransomware tạo ra trong quá trình hoạt động.

Danh sách này có thể được đặt từ bảng điều khiển FSRM. Để làm điều này, hãy mở rộng chươngQuản lý sàng lọc tệp -> Nhóm tệp và chọn từ menu Tạo nhóm tệp.

Bạn phải chỉ định tên nhóm (ví dụ: Tệp mật mã) và thêm tất cả các phần mở rộng đã biết vào danh sách bằng cách sử dụng trường Các tập tin cần bao gồm.

Danh sách các phần mở rộng tệp đã biết do ransomware tạo ra khá lớn, do đó, việc tạo một phần mở rộng tệp bằng PowerShell sẽ dễ dàng hơn nhiều.

Trong Windows Server 2012, bạn có thể tạo một nhóm tệp bằng PowerShell như thế này:

New-FsrmFileGroup -Tên "Tệp mật mã" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTION.TXT", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_RESTORE_FILES.txt", "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", " cách giải mã aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*. locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*. xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptlocker","*.micro","*.vvv")

Trong Windows Server 2008 R2 bạn sẽ phải sử dụng tiện ích filescrn.exe:

Khuyên bảo. Bạn có thể tự mình biên soạn danh sách các phần mở rộng tệp đã biết cho nhiều phần mềm ransomware khác nhau hoặc sử dụng danh sách được cập nhật định kỳ, được tạo sẵn bởi những người đam mê:

https://www.bleib-virenfrei.de/ransomware/

https://fsrm.experiant.ca/api/v1/combined

Trong trường hợp thứ hai, danh sách các phần mở rộng tệp hiện tại cho FSRM có thể được tải xuống trực tiếp từ máy chủ web bằng cách sử dụng

new-FsrmFileGroup -name "Nhóm tệp chống ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | Convertfrom-json | % ($ _.bộ lọc))

Hoặc sử dụng file tạo sẵn: . Tệp này có thể được lưu vào đĩa và được sử dụng để cập nhật nhóm tệp FSRM đã tạo:

$ext_list = Lấy nội dung .\crypto_extensions.txt
Set-FsrmFileGroup -Tên "Tệp mật mã" -IncludePattern ($ext_list)

Thiết lập mẫu màn hình tệp

Hãy tạo Mẫu màn hình tệp mới để xác định các hành động mà FSRM sẽ thực hiện khi gặp các tệp được chỉ định. Để thực hiện việc này, trong bảng điều khiển FSRM, hãy chuyển đến phần Quản lý màn hình tệp -> Mẫu màn hình tệp. Hãy tạo một mẫu mới Tạo mẫu màn hình tệp.

Trên tab cài đặt, chỉ định tên của mẫu “ Block_crypto_files”, loại sàng lọc – Sàng lọc tích cực(cấm tạo các loại tệp được chỉ định) và chọn Tệp mật mã trong danh sách nhóm tệp.

Trên tab Thư điện tử Hãy kích hoạt tính năng gửi thông báo qua email bằng cách tùy chỉnh văn bản thông báo theo ý thích của bạn.

Trên tab Sự kiện Nhật ký cho phép ghi sự kiện trong nhật ký hệ thống. Với hướng dẫn chỉ ghi lại tên người dùng:

Trên tab Yêu cầu Bạn có thể chỉ định hành động cần thực hiện khi phát hiện loại tệp này. Thêm về điều này dưới đây.

Lưu các thay đổi của bạn. Một cái khác sẽ xuất hiện trong danh sách các mẫu.

Áp dụng mẫu Màn hình Tệp vào ổ đĩa hoặc thư mục

Tất cả những gì còn lại là gán mẫu đã tạo vào ổ đĩa hoặc thư mục mạng trên máy chủ. Hãy tạo một quy tắc mới trong bảng điều khiển FSRM.

Trong trường Đường dẫn màn hình tệp, chúng ta cần chỉ định ổ đĩa cục bộ hoặc đường dẫn đến thư mục mà chúng ta muốn kích hoạt tính năng bảo vệ ransomware và trong danh sách mẫu, hãy chọn mẫu Block_crypto_files đã tạo trước đó.

Tự động chặn quyền truy cập đối với người dùng bị nhiễm ransomware

Tất cả những gì còn lại là định cấu hình hành động mà FSRM sẽ thực hiện khi phát hiện các tệp được tạo bởi ransomware. Chúng tôi sẽ sử dụng một tập lệnh làm sẵn: Bảo vệ Máy chủ tệp của bạn khỏi Ransomware bằng cách sử dụng FSRM và Powershell(https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce). Kịch bản này làm gì? Khi bạn cố gắng ghi loại tệp "bị cấm" vào thư mục mạng, FSRM sẽ chạy tập lệnh này để phân tích nhật ký sự kiện và ở cấp độ chia sẻ cấm ghi vào người dùng đã cố gắng ghi loại tệp bị cấm. Vì vậy, chúng tôi sẽ chặn quyền truy cập của người dùng bị nhiễm vào thư mục mạng.

Tải xuống tập lệnh đã chỉ định và giải nén nó vào thư mục gốc C:\trên máy chủ tệp. Sao chép tiện ích vào cùng thư mục (cần thiết để thay đổi quyền trên thư mục mạng). Danh mục phải có những nội dung sau các tập tin:

Bắt đầuRansomwareBlockSmb.cmd
subinacl.exe

Ghi chú. Trong tập lệnh PS tôi đã phải thay đổi dòng:

$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"

if ($Rule -match "Tệp mật mã")

Còn lại trong cài đặt mẫu “Chặn tệp mật mã” trên tab Yêu cầu chỉ định rằng dòng lệnh sẽ được khởi chạy với đối số StartRansomwareBlockSmb.cmd:

Chạy lệnh hoặc tập lệnh này: c:\windows\system32\cmd.exe

Đối số lệnh: /c “c:\StartRansomwareBlockSmb.cmd”

Lệnh phải được thực thi với quyền hệ thống cục bộ ( Địa phươngHệ thống).

Kiểm tra bảo mật FSRM

Hãy kiểm tra cách hoạt động của tính năng bảo vệ FSRM chống lại ransomware. Để thực hiện việc này, hãy tạo một tệp có phần mở rộng tùy ý trong thư mục được bảo vệ và thử thay đổi nó thành one.locky bị cấm.

ID sự kiện: 8215
Nguồn: SRMSVC

Tập lệnh RansomwareBlockSmb.ps1, dựa trên dữ liệu từ sự kiện, sẽ từ chối quyền truy cập của người dùng hiện tại vào thư mục này bằng cách đặt từ chối cá nhân trong các quyền trên chia sẻ:

Bảo vệ hoạt động! Tại thư mục gốc của đĩa trong nhật ký, bạn có thể thấy thư mục và người dùng mà phần mềm tống tiền đã cố chạy.

Nếu bạn cần cung cấp mức độ bảo mật cao hơn nữa, bạn có thể chuyển từ danh sách đen các tệp sang danh sách trắng, khi chỉ những loại tệp được phép mới có thể được lưu trữ trên máy chủ tệp.

Vì vậy, chúng tôi đã xem xét cách sử dụng FSRM để tự động chặn quyền truy cập vào các thư mục mạng đối với những người dùng có máy tính bị nhiễm vi-rút ransomware. Đương nhiên, việc sử dụng FSRM ở chế độ này không thể đảm bảo 100% khả năng bảo vệ các tệp trên máy chủ khỏi loại vi-rút này, nhưng với tư cách là một trong những cấp độ bảo vệ, kỹ thuật này khá phù hợp. Trong các bài viết sau, chúng ta sẽ xem xét thêm một số tùy chọn để chống lại vi-rút ransomware.