Về việc cập nhật Windows khỏi virus ransomware WannaCry. Cách bảo vệ bạn khỏi cuộc tấn công của ransomware WannaCry

Một làn sóng virus mã hóa mới WannaCry (tên khác Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) đã càn quét khắp thế giới, mã hóa tài liệu trên máy tính và đòi 300-600 USD để giải mã. Làm thế nào bạn có thể biết liệu máy tính của bạn có bị nhiễm virus hay không? Bạn nên làm gì để tránh trở thành nạn nhân? Và phải làm gì để phục hồi?

Sau khi cài đặt các bản cập nhật, máy tính sẽ cần phải được khởi động lại.

Làm cách nào để phục hồi khỏi virus ransomware Wana Decrypt0r?

Tiện ích diệt virus khi phát hiện có virus sẽ loại bỏ ngay hoặc hỏi bạn có nên xử lý hay không? Câu trả lời là để điều trị.

Làm cách nào để khôi phục các tập tin được mã hóa bởi Wana Decryptor?

Chúng tôi không thể nói bất cứ điều gì yên tâm vào lúc này. Chưa có công cụ giải mã tập tin nào được tạo. Hiện tại, tất cả những gì còn lại là đợi cho đến khi bộ giải mã được phát triển.

Theo Brian Krebs, chuyên gia bảo mật máy tính, hiện tại bọn tội phạm mới nhận được 26.000 USD, tức chỉ có khoảng 58 người đồng ý trả tiền chuộc cho những kẻ tống tiền. Không ai biết liệu họ có khôi phục được tài liệu của mình hay không.

Làm thế nào để ngăn chặn sự lây lan của virus trực tuyến?

Trong trường hợp của WannaCry, giải pháp cho vấn đề có thể là chặn cổng 445 trên Tường lửa, nơi lây nhiễm xảy ra.

Bài viết này được chuẩn bị liên quan đến một cuộc tấn công lớn của hacker trên quy mô toàn cầu, điều này cũng có thể ảnh hưởng đến bạn. Hậu quả trở nên thực sự nghiêm trọng. Dưới đây bạn sẽ tìm thấy mô tả ngắn gọn về vấn đề và mô tả các biện pháp chính cần được thực hiện để bảo vệ khỏi dòng virus ransomware WannaCry.

Mã độc tống tiền WannaCry khai thác lỗ hổng Microsoft Windows MS17-010để thực thi mã độc và chạy ransomware trên các PC dễ bị tấn công, sau đó vi-rút đề nghị trả cho những kẻ tấn công khoảng 300 USD để giải mã dữ liệu. Virus này đã lây lan rộng rãi trên toàn thế giới, nhận được sự đưa tin tích cực trên các phương tiện truyền thông - Fontanka.ru, Gazeta.ru, RBC.

Lỗ hổng này ảnh hưởng đến PC có hệ điều hành Windows được cài đặt từ XP lên Windows 10 và Server 2016; bạn có thể đọc thông tin chính thức về lỗ hổng từ Microsoft và.

Lỗ hổng này thuộc lớp Thực thi mã từ xa, có nghĩa là việc lây nhiễm có thể được thực hiện từ một PC đã bị nhiễm thông qua mạng có mức độ bảo mật thấp mà không có phân đoạn ME - mạng cục bộ, mạng công cộng, mạng khách, cũng như bằng cách khởi chạy phần mềm độc hại nhận được qua thư hoặc dưới dạng liên kết.

Các biện pháp an ninh

Những biện pháp nào cần được xác định là hiệu quả để chống lại loại virus này:

Đảm bảo bạn đã cài đặt bản cập nhật Microsoft Windows mới nhất để loại bỏ lỗ hổng MS17-010. Bạn có thể tìm thấy các liên kết đến các bản cập nhật và cũng lưu ý rằng do mức độ nghiêm trọng chưa từng có của lỗ hổng này, các bản cập nhật cho hệ điều hành không được hỗ trợ (windowsXP, máy chủ 2003, máy chủ 2008) đã được phát hành vào ngày 13 tháng 5, bạn có thể tải xuống.
Khi sử dụng các giải pháp bảo mật mạng lớp IPS, hãy đảm bảo rằng bạn đã cài đặt các bản cập nhật bao gồm tính năng phát hiện và giảm thiểu lỗ hổng mạng. Lỗ hổng này được mô tả trong cơ sở kiến thức Check Point; nó có trong bản cập nhật IPS ngày 14 tháng 3 năm 2017, Thực thi mã từ xa Microsoft Windows SMB (MS17-010: CVE-2017-0143). Chúng tôi cũng khuyên bạn nên thiết lập quét lưu lượng truy cập nội bộ trên các phân đoạn mạng quan trọng bằng IPS, ít nhất là trong thời gian ngắn, cho đến khi khả năng lây nhiễm giảm đi.
Do khả năng thay đổi mã vi-rút, chúng tôi khuyên bạn nên kích hoạt hệ thống AntiBot&Antivirus và mô phỏng việc khởi chạy các tệp đến từ các nguồn bên ngoài qua thư hoặc Internet. Nếu bạn là người dùng Cổng bảo mật Check Point thì hệ thống này là Mô phỏng mối đe dọa. Đặc biệt đối với các công ty chưa có đăng ký này, chúng tôi đề nghị nhanh chóng nhận được đăng ký này trong thời gian dùng thử 30 ngày. Để yêu cầu khóa kích hoạt đăng ký đầy đủ tính năng cho cổng Check Point của bạn, hãy viết thư tới [email được bảo vệ] Bạn có thể đọc thêm về hệ thống mô phỏng tập tin và.

Đồng thời chặn việc chuyển các kho lưu trữ mật khẩu và kích hoạt chữ ký IPS từ danh sách:

Thậm chí còn có nhiều đề xuất hơn và một ví dụ về báo cáo về việc ngăn chặn hoạt động của ransomware Wannacry.

Các đồng nghiệp thân mến, dựa trên kinh nghiệm làm việc với các cuộc tấn công lớn trước đây, chẳng hạn như Heart Bleed, lỗ hổng Microsoft Windows MS17-010 sẽ bị khai thác tích cực trong 30-40 ngày tới, đừng trì hoãn các biện pháp đối phó! Để đề phòng, hãy kiểm tra hoạt động của hệ thống BackUp của bạn.

Rủi ro thực sự lớn!

CẬP NHẬT. Vào thứ Năm, ngày 18 tháng 5, lúc 10:00 giờ Moscow, chúng tôi mời bạn tham gia hội thảo trực tuyến về ransomware và các phương pháp bảo vệ.

Hội thảo trực tuyến được thực hiện bởi TS Solution và Sergey Nevstruev, Giám đốc bán hàng phòng chống mối đe dọa điểm kiểm tra Đông Âu.
Chúng tôi sẽ đề cập đến các câu hỏi sau:

#cuộc tấn công WannaCry
Phạm vi và hiện trạng
Đặc điểm
Yếu tố khối lượng

Khuyến nghị bảo mật

Làm thế nào để đi trước một bước và ngủ yên

IPS+AM
SandBlast: Mô phỏng mối đe dọa và khai thác mối đe dọa
Tác nhân SandBlast: Chống ransomware
Đặc vụ SandBlast: Pháp y
Tác nhân SandBlast: Anti-Bot

Bạn có thể đăng ký bằng cách trả lời thư này hoặc theo liên kết đăng ký

Vào khoảng 1 giờ chiều ngày 12 tháng 5, virus Wana Decryptor bắt đầu lây lan. Trong gần vài giờ, hàng chục nghìn máy tính trên khắp thế giới đã bị nhiễm virus. Cho đến nay, hơn 45.000 máy tính bị nhiễm đã được xác nhận.

Với hơn 40 nghìn vụ hack tại 74 quốc gia, người dùng Internet trên toàn thế giới đã chứng kiến vụ tấn công mạng lớn nhất trong lịch sử. Danh sách nạn nhân không chỉ bao gồm người dân bình thường mà còn có máy chủ của các ngân hàng, công ty viễn thông và thậm chí cả các cơ quan thực thi pháp luật.

Máy tính của cả người dùng thông thường và máy tính làm việc ở nhiều tổ chức khác nhau, bao gồm cả Bộ Nội vụ Nga, đều bị nhiễm virus ransomware Wanna Cry. Thật không may, hiện tại không có cách nào để giải mã các tệp WNCRY, nhưng bạn có thể thử khôi phục các tệp được mã hóa bằng các chương trình như ShadowExplorer và PhotoRec.

Các bản vá chính thức của Microsoft để bảo vệ chống lại virus Wanna Cry:

Windows 7 32bit/x64
Windows 10 32bit/x64
Windows XP 32 bit/x64 - không có bản vá từ WCry.

Cách bảo vệ bạn khỏi virus Wanna Cry

Bạn có thể tự bảo vệ mình khỏi virus Wanna Cry bằng cách tải xuống bản vá cho phiên bản Windows của mình.

Wanna Cry lây lan như thế nào

Wanna Cry được phân phối:

thông qua các tập tin
tin nhắn thư.

Theo truyền thông Nga đưa tin, công việc của các cơ quan thuộc Bộ Nội vụ ở một số vùng của Nga đã bị gián đoạn do một loại ransomware đã lây nhiễm sang nhiều máy tính và đe dọa phá hủy toàn bộ dữ liệu. Ngoài ra, nhà điều hành truyền thông Megafon cũng bị tấn công.

Chúng ta đang nói về Trojan ransomware WCry (WannaCry hoặc WannaCryptor). Anh ta mã hóa thông tin trên máy tính và yêu cầu khoản tiền chuộc là 300 USD hoặc 600 USD bằng Bitcoin để giải mã.
Người dùng thông thường cũng báo cáo tình trạng lây nhiễm trên các diễn đàn và mạng xã hội:

Dịch mã hóa WannaCry: phải làm gì để tránh bị lây nhiễm Hướng dẫn từng bước một

Tối 12/5, một cuộc tấn công ransomware WannaCryptor (WannaCry) quy mô lớn đã được phát hiện, mã hóa toàn bộ dữ liệu trên PC và laptop chạy Windows. Chương trình yêu cầu 300 đô la bitcoin (khoảng 17.000 rúp) làm tiền chuộc để giải mã.

Cú đánh chính rơi vào người dùng và các công ty Nga. Hiện tại, WannaCry đã lây nhiễm khoảng 57.000 máy tính, bao gồm các mạng công ty của Bộ Nội vụ, Đường sắt Nga và Megafon. Sberbank và Bộ Y tế cũng báo cáo các cuộc tấn công vào hệ thống của họ.

Chúng tôi cho bạn biết những gì bạn cần làm ngay bây giờ để tránh nhiễm trùng.

1. Bộ mã hóa khai thác lỗ hổng của Microsoft vào tháng 3 năm 2017. Để giảm thiểu mối đe dọa, bạn phải cập nhật khẩn cấp phiên bản Windows của mình:

Bắt đầu - Tất cả chương trình - Windows Update - Tìm kiếm bản cập nhật - Tải xuống và cài đặt

2. Ngay cả khi hệ thống không được cập nhật và WannaCry đã xâm nhập vào máy tính, cả giải pháp doanh nghiệp và gia đình ESET NOD32 đều phát hiện và chặn thành công tất cả các sửa đổi của nó.

5. Để phát hiện các mối đe dọa chưa xác định, các sản phẩm của chúng tôi sử dụng công nghệ hành vi và phỏng đoán. Nếu vi-rút hoạt động giống vi-rút thì rất có thể đó là vi-rút. Như vậy, hệ thống đám mây ESET LiveGrid đã đẩy lùi thành công cuộc tấn công từ ngày 12 tháng 5, ngay cả trước khi cơ sở dữ liệu chữ ký được cập nhật.

Tên chính xác của virus Wana Decryptor, WanaCrypt0r, Wanna Cry hay Wana Decrypt0r là gì?

Kể từ lần đầu tiên phát hiện ra loại virus này, rất nhiều thông báo khác nhau về loại virus ransomware này đã xuất hiện trên mạng và nó thường được gọi bằng những cái tên khác nhau. Điều này xảy ra vì một số lý do. Trước khi virus Wana Decrypt0r xuất hiện, nó đã có phiên bản đầu tiên Muốn giải mã0r, sự khác biệt chính là phương pháp phân phối. Biến thể đầu tiên này không nhận được nhiều sự chú ý như người em của nó, nhưng do đó, trong một số bản tin, virus ransomware mới được gọi bằng tên của người anh trai của nó là Wanna Cry, Wanna Decryptor.

Nhưng tên chính vẫn là Wana Decrypt0r, mặc dù hầu hết người dùng thay vì số "0" hãy nhập chữ "o", dẫn đến tên Bộ giải mã Wana hoặc Bộ giải mã Wana.

Và cái tên cuối cùng mà người dùng thường gọi virus ransomware này là virus WNCRY, tức là bằng phần mở rộng được thêm vào tên của các tệp đã được mã hóa.

Để giảm thiểu nguy cơ virus Wanna Cru xâm nhập vào máy tính của bạn, các chuyên gia của Kaspersky Lab khuyên bạn nên cài đặt tất cả các bản cập nhật có thể có cho phiên bản Windows hiện tại. Thực tế là phần mềm độc hại chỉ lây nhiễm vào những máy tính chạy phần mềm này.

Virus Wanna Cry: Cách thức lây lan

Trước đây, chúng tôi đã đề cập đến phương pháp phát tán virus này trong một bài viết về hành vi an toàn trên Internet nên nó không có gì mới.

Wanna Cry được phân phối như sau: Một lá thư được gửi đến hộp thư của người dùng kèm theo phần đính kèm “vô hại” - nó có thể là hình ảnh, video, bài hát, nhưng thay vì phần mở rộng tiêu chuẩn cho các định dạng này, phần đính kèm sẽ có phần mở rộng tệp thực thi - exe. Khi một tệp như vậy được mở và khởi chạy, hệ thống sẽ bị “nhiễm” và thông qua một lỗ hổng, vi-rút sẽ được tải trực tiếp vào hệ điều hành Windows, mã hóa dữ liệu người dùng, Therussiantimes.com đưa tin.

Virus Wanna Cry: mô tả về virus

Wanna Cry (thường dân đã đặt biệt danh cho nó là Wona's Edge) thuộc loại vi-rút ransomware (mật mã), khi xâm nhập vào PC, chúng sẽ mã hóa các tệp người dùng bằng thuật toán mã hóa, sau đó khiến nó không thể đọc được các tệp này.
Hiện tại, các phần mở rộng tệp phổ biến sau đây được biết là có thể bị mã hóa Wanna Cry:

Các tệp Microsoft Office phổ biến (.xlsx, báo cáo therussiantimes.com.xls, .docx, .doc).
Các tệp lưu trữ và phương tiện (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry là một chương trình có tên WanaCrypt0r 2.0, chuyên tấn công các PC chạy hệ điều hành Windows. Chương trình khai thác một “lỗ hổng” trong hệ thống - Microsoft Security Bulletin MS17-010, sự tồn tại của lỗ hổng này trước đây chưa được biết đến. Để giải mã, chương trình yêu cầu “tiền chuộc” từ 300 USD đến 600 USD. Nhân tiện, hiện tại, theo The Guardian, hơn 42 nghìn đô la đã được chuyển vào tài khoản của tin tặc.

Đầu tiên, điều quan trọng là ransomware WannaCry chỉ tồn tại trên Windows. Nếu thiết bị của bạn sử dụng macOS, iOS, Android, Linux hoặc bất kỳ hệ điều hành nào khác làm hệ điều hành thì phần mềm độc hại này không gây ra mối đe dọa cho thiết bị.

Nhưng đối với các thiết bị Windows thì có. Nhưng các phiên bản Windows khác nhau yêu cầu các bản vá khác nhau. Vì vậy, trước khi cài đặt bất cứ thứ gì, bạn cần tìm hiểu xem mình đang sử dụng phiên bản Windows nào.

Việc này được thực hiện như thế này:

Nhấn các phím và [R] trên bàn phím cùng lúc.
Trong cửa sổ xuất hiện, nhập winver và nhấn OK.

Cửa sổ hiện ra sẽ cho biết phiên bản Windows.

2. Cài đặt bản vá MS17-010 để đóng lỗ hổng Windows

Khi bạn nhấp vào liên kết mong muốn, một tệp thực thi có phần mở rộng MSU với bản cập nhật cần thiết sẽ được tải xuống. Nhấp vào nó và sau đó làm theo lời nhắc của trình hướng dẫn cài đặt. Sau khi cài đặt hoàn tất, hãy khởi động lại hệ thống để đề phòng. Xong - lỗ hổng đã bị đóng, WannaCry sẽ không xâm nhập vào máy tính của bạn.

3. Kiểm tra máy tính xem có virus không

Có thể WannaCry đã xâm nhập được vào máy tính của bạn trước khi bạn đóng lỗ hổng này. Vì vậy, để đề phòng, bạn nên kiểm tra máy tính của mình xem có virus không.

Nếu bạn không có phần mềm chống vi-rút, hãy tải xuống phiên bản Kaspersky Internet Security 30 ngày miễn phí. Nếu bạn đã cài đặt giải pháp bảo mật Kaspersky Lab, hãy thực hiện việc này.

Đảm bảo bạn đã bật mô-đun Giám sát hoạt động. Để thực hiện việc này, hãy đi tới cài đặt, chọn phần Bảo vệ và đảm bảo rằng nó có dòng chữ Bật bên cạnh mục Giám sát hoạt động.
Chạy quét nhanh máy tính của bạn để tìm virus. Để thực hiện, trong giao diện của giải pháp diệt virus bạn chọn phần Scan, trong đó chọn mục Quick scan rồi nhấn Run scan.
Nếu phần mềm chống vi-rút phát hiện phần mềm độc hại có kết quả Trojan.Win64.EquationDrug.gen, phần mềm này phải được xóa rồi khởi động lại.

Thế là xong, bạn đã được bảo vệ khỏi WannaCry. Bây giờ hãy chăm sóc gia đình và bạn bè, những người không biết cách tự bảo vệ thiết bị của mình.

Trong bài viết này chúng tôi sẽ phân tích phương pháp sử dụng chức năng Trình quản lý tài nguyên máy chủ tệp (FSRM) trên máy chủ tập tin Máy chủ Windows 2012 R2để phát hiện và chặn công việc virus ransomware(Trojan mã hóa, Ransomware hoặc CryptoLocker). Cụ thể, chúng tôi sẽ tìm ra cách cài đặt dịch vụ FSRM, định cấu hình phát hiện các loại tệp nhất định và nếu phát hiện thấy các tệp đó, hãy chặn quyền truy cập của người dùng vào một thư mục trên máy chủ tệp.

Phát hiện ransomware bằng FSRM

Nếu Trình quản lý tài nguyên máy chủ tệp chưa được cài đặt trên máy chủ của bạn, bạn có thể cài đặt nó bằng bảng điều khiển đồ họa Trình quản lý máy chủ hoặc từ dòng lệnh PowerShell:

Cài đặt-WindowsFeature FS-Resource-Manager -Include ManagementTools

Hãy kiểm tra xem vai trò đã được cài đặt chưa:

Get-WindowsFeature -Name FS-Resource-Manager

Sau khi cài đặt thành phần, máy chủ phải được khởi động lại.

Định cấu hình tham số SMTP FSRM để gửi thông báo qua email

Bước tiếp theo là định cấu hình các tham số SMTP của dịch vụ FSRM, nhờ đó quản trị viên có thể định cấu hình gửi thông báo email đến hộp thư của mình. Để thực hiện việc này, hãy khởi chạy bảng điều khiển fsrm.msc, nhấp chuột phải vào thư mục gốc của bảng điều khiển Trình quản lý tài nguyên máy chủ tệp và chọn Cấu hìnhTùy chọn.

Chỉ định địa chỉ máy chủ SMTP, hộp thư quản trị viên và tên người gửi.

Bạn có thể kiểm tra tính chính xác của cài đặt máy chủ SMTP bằng cách gửi thư kiểm tra bằng nút Gửi email kiểm tra.

Bạn cũng có thể định cấu hình cài đặt SMTP của dịch vụ FSRM bằng Powershell:

Set-FsrmSetting -AdminEmailAddress " [email được bảo vệ]" –smtpserver smtp.adatum.com –FromEmailAddress " [email được bảo vệ]"

Tạo nhóm file đuôi mở rộng được tạo bởi ransomware

Bước tiếp theo là tạo một nhóm tệp sẽ chứa các phần mở rộng và tên tệp đã biết mà ransomware tạo ra trong quá trình hoạt động.

Danh sách này có thể được đặt từ bảng điều khiển FSRM. Để làm điều này, hãy mở rộng chươngQuản lý sàng lọc tệp -> Nhóm tệp và chọn từ menu Tạo nhóm tệp.

Bạn phải chỉ định tên nhóm (ví dụ: Tệp mật mã) và thêm tất cả các phần mở rộng đã biết vào danh sách bằng cách sử dụng trường Các tập tin cần bao gồm.

Danh sách các phần mở rộng tệp đã biết do ransomware tạo ra khá lớn, do đó, việc tạo một phần mở rộng tệp bằng PowerShell sẽ dễ dàng hơn nhiều.

Trong Windows Server 2012, bạn có thể tạo một nhóm tệp bằng PowerShell như thế này:

New-FsrmFileGroup -Tên "Tệp mật mã" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTION.TXT", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_RESTORE_FILES.txt", "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", " cách giải mã aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*. locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*. xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptlocker","*.micro","*.vvv")

Trong Windows Server 2008 R2 bạn sẽ phải sử dụng tiện ích filescrn.exe:

Khuyên bảo. Bạn có thể tự mình biên soạn danh sách các phần mở rộng tệp đã biết cho nhiều phần mềm ransomware khác nhau hoặc sử dụng danh sách được cập nhật định kỳ, được tạo sẵn bởi những người đam mê:

https://www.bleib-virenfrei.de/ransomware/

https://fsrm.experiant.ca/api/v1/combined

Trong trường hợp thứ hai, danh sách các phần mở rộng tệp hiện tại cho FSRM có thể được tải xuống trực tiếp từ máy chủ web bằng cách sử dụng

new-FsrmFileGroup -name "Nhóm tệp chống ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | Convertfrom-json | % ($ _.bộ lọc))

Hoặc sử dụng file tạo sẵn: . Tệp này có thể được lưu vào đĩa và được sử dụng để cập nhật nhóm tệp FSRM đã tạo:

$ext_list = Lấy nội dung .\crypto_extensions.txt
Set-FsrmFileGroup -Tên "Tệp mật mã" -IncludePattern ($ext_list)

Thiết lập mẫu màn hình tệp

Hãy tạo Mẫu màn hình tệp mới để xác định các hành động mà FSRM sẽ thực hiện khi gặp các tệp được chỉ định. Để thực hiện việc này, trong bảng điều khiển FSRM, hãy chuyển đến phần Quản lý màn hình tệp -> Mẫu màn hình tệp. Hãy tạo một mẫu mới Tạo mẫu màn hình tệp.

Trên tab cài đặt, chỉ định tên của mẫu “ Block_crypto_files”, loại sàng lọc – Sàng lọc tích cực(cấm tạo các loại tệp được chỉ định) và chọn Tệp mật mã trong danh sách nhóm tệp.

Trên tab Thư điện tử Hãy kích hoạt tính năng gửi thông báo qua email bằng cách tùy chỉnh văn bản thông báo theo ý thích của bạn.

Trên tab Sự kiện Nhật ký cho phép ghi sự kiện trong nhật ký hệ thống. Với hướng dẫn chỉ ghi lại tên người dùng:

Trên tab Yêu cầu Bạn có thể chỉ định hành động cần thực hiện khi phát hiện loại tệp này. Thêm về điều này dưới đây.

Lưu các thay đổi của bạn. Một cái khác sẽ xuất hiện trong danh sách các mẫu.

Áp dụng mẫu Màn hình Tệp vào ổ đĩa hoặc thư mục

Tất cả những gì còn lại là gán mẫu đã tạo vào ổ đĩa hoặc thư mục mạng trên máy chủ. Hãy tạo một quy tắc mới trong bảng điều khiển FSRM.

Trong trường Đường dẫn màn hình tệp, chúng ta cần chỉ định ổ đĩa cục bộ hoặc đường dẫn đến thư mục mà chúng ta muốn kích hoạt tính năng bảo vệ ransomware và trong danh sách mẫu, hãy chọn mẫu Block_crypto_files đã tạo trước đó.

Tự động chặn quyền truy cập đối với người dùng bị nhiễm ransomware

Tất cả những gì còn lại là định cấu hình hành động mà FSRM sẽ thực hiện khi phát hiện các tệp được tạo bởi ransomware. Chúng tôi sẽ sử dụng một tập lệnh làm sẵn: Bảo vệ Máy chủ tệp của bạn khỏi Ransomware bằng cách sử dụng FSRM và Powershell(https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce). Kịch bản này làm gì? Khi bạn cố gắng ghi loại tệp "bị cấm" vào thư mục mạng, FSRM sẽ chạy tập lệnh này để phân tích nhật ký sự kiện và ở cấp độ chia sẻ cấm ghi vào người dùng đã cố gắng ghi loại tệp bị cấm. Vì vậy, chúng tôi sẽ chặn quyền truy cập của người dùng bị nhiễm vào thư mục mạng.

Tải xuống tập lệnh đã chỉ định và giải nén nó vào thư mục gốc C:\trên máy chủ tệp. Sao chép tiện ích vào cùng thư mục (cần thiết để thay đổi quyền trên thư mục mạng). Danh mục phải có những nội dung sau các tập tin:

Bắt đầuRansomwareBlockSmb.cmd
subinacl.exe

Ghi chú. Trong tập lệnh PS tôi đã phải thay đổi dòng:

$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"

if ($Rule -match "Tệp mật mã")

Còn lại trong cài đặt mẫu “Chặn tệp mật mã” trên tab Yêu cầu chỉ định rằng dòng lệnh sẽ được khởi chạy với đối số StartRansomwareBlockSmb.cmd:

Chạy lệnh hoặc tập lệnh này: c:\windows\system32\cmd.exe

Đối số lệnh: /c “c:\StartRansomwareBlockSmb.cmd”

Lệnh phải được thực thi với quyền hệ thống cục bộ ( Địa phươngHệ thống).

Kiểm tra bảo mật FSRM

Hãy kiểm tra cách hoạt động của tính năng bảo vệ FSRM chống lại ransomware. Để thực hiện việc này, hãy tạo một tệp có phần mở rộng tùy ý trong thư mục được bảo vệ và thử thay đổi nó thành one.locky bị cấm.

ID sự kiện: 8215
Nguồn: SRMSVC

Tập lệnh RansomwareBlockSmb.ps1, dựa trên dữ liệu từ sự kiện, sẽ từ chối quyền truy cập của người dùng hiện tại vào thư mục này bằng cách đặt từ chối cá nhân trong các quyền trên chia sẻ:

Bảo vệ hoạt động! Tại thư mục gốc của đĩa trong nhật ký, bạn có thể thấy thư mục và người dùng mà phần mềm tống tiền đã cố chạy.

Nếu bạn cần cung cấp mức độ bảo mật cao hơn nữa, bạn có thể chuyển từ danh sách đen các tệp sang danh sách trắng, khi chỉ những loại tệp được phép mới có thể được lưu trữ trên máy chủ tệp.

Vì vậy, chúng tôi đã xem xét cách sử dụng FSRM để tự động chặn quyền truy cập vào các thư mục mạng đối với những người dùng có máy tính bị nhiễm vi-rút ransomware. Đương nhiên, việc sử dụng FSRM ở chế độ này không thể đảm bảo 100% cho việc bảo vệ các tệp trên máy chủ khỏi loại vi-rút này, nhưng với tư cách là một trong những cấp độ bảo vệ, kỹ thuật này khá phù hợp. Trong các bài viết sau, chúng ta sẽ xem xét thêm một số tùy chọn để chống lại vi-rút ransomware.