Bảo vệ chống lại ransomware bằng FSRM trong Windows Server. Bảo vệ khỏi ransomware bằng FSRM trên Windows Server
Phần mềm độc hại ransomware mới WannaCry (còn có một số tên khác - WannaCry Decryptor, WannaCrypt, WCry và WanaCrypt0r 2.0) đã có mặt trên toàn thế giới vào ngày 12 tháng 5 năm 2017, khi các tập tin trên máy tính ở một số tổ chức chăm sóc sức khỏe ở Anh bị phát tán. được mã hóa. Mọi việc nhanh chóng trở nên rõ ràng, các công ty ở hàng chục quốc gia cũng rơi vào tình huống tương tự và Nga, Ukraine, Ấn Độ và Đài Loan là những nước chịu thiệt hại nặng nề nhất. Theo Kaspersky Lab, chỉ trong ngày đầu tiên của cuộc tấn công, virus đã được phát hiện ở 74 quốc gia.
Tại sao WannaCry nguy hiểm? Virus mã hóa nhiều loại tệp khác nhau (sử dụng phần mở rộng .WCRY, khiến các tệp hoàn toàn không thể đọc được) và sau đó yêu cầu khoản tiền chuộc là 600 USD để giải mã. Để đẩy nhanh thủ tục chuyển tiền, người dùng bị đe dọa bởi thực tế là sau ba ngày, số tiền chuộc sẽ tăng lên và sau bảy ngày, các tập tin sẽ không thể giải mã được nữa.
Máy tính chạy hệ điều hành Windows có nguy cơ bị nhiễm virus ransomware WannaCry. Nếu bạn sử dụng các phiên bản Windows được cấp phép và thường xuyên cập nhật hệ thống của mình, bạn không phải lo lắng về việc vi-rút xâm nhập vào hệ thống của mình theo cách này.
Người dùng MacOS, ChromeOS và Linux cũng như hệ điều hành di động iOS và Android hoàn toàn không nên lo sợ trước các cuộc tấn công của WannaCry.
Phải làm gì nếu bạn là nạn nhân của WannaCry?
Cơ quan Tội phạm Quốc gia (NCA) của Vương quốc Anh khuyến nghị các doanh nghiệp nhỏ từng là nạn nhân của ransomware và lo ngại về việc vi-rút lây lan trực tuyến nên thực hiện các hành động sau:
- Ngay lập tức cách ly máy tính, máy tính xách tay hoặc máy tính bảng của bạn khỏi mạng nội bộ/công ty của bạn. Tắt Wi-Fi.
- Thay đổi trình điều khiển.
- Nếu không kết nối với mạng Wi-Fi, hãy kết nối máy tính của bạn trực tiếp với Internet.
- Cập nhật hệ điều hành của bạn và tất cả các phần mềm khác.
- Cập nhật và chạy phần mềm chống vi-rút của bạn.
- Kết nối lại với mạng.
- Giám sát lưu lượng mạng và/hoặc chạy quét vi-rút để đảm bảo rằng phần mềm tống tiền đã biến mất.
Quan trọng!
Các tập tin bị mã hóa bởi virus WannaCry không ai có thể giải mã được ngoại trừ những kẻ tấn công. Vì vậy, đừng lãng phí thời gian và tiền bạc cho những “thiên tài CNTT” hứa hẹn sẽ cứu bạn khỏi cơn đau đầu này.
Có đáng để trả tiền cho những kẻ tấn công?
Những câu hỏi đầu tiên mà người dùng đặt ra khi đối mặt với virus ransomware WannaCry mới là: cách khôi phục tập tin và cách loại bỏ vi-rút. Không tìm được giải pháp miễn phí và hiệu quả, họ đứng trước sự lựa chọn: trả tiền cho kẻ tống tiền hay không? Vì người dùng thường có thứ gì đó để mất (tài liệu cá nhân và kho lưu trữ ảnh được lưu trữ trên máy tính), mong muốn giải quyết vấn đề bằng tiền thực sự nảy sinh.
Nhưng NCA đang thúc giục mạnh mẽ Khôngtrả tiền. Nếu bạn quyết định làm điều này, hãy ghi nhớ những điều sau:
- Đầu tiên, không có gì đảm bảo rằng bạn sẽ có quyền truy cập vào dữ liệu của mình.
- Thứ hai, máy tính của bạn có thể vẫn bị nhiễm virus ngay cả sau khi thanh toán.
- Thứ ba, rất có thể bạn sẽ chỉ đưa tiền của mình cho tội phạm mạng.
Làm thế nào để bảo vệ bạn khỏi WannaCry?
Vyacheslav Belashov, người đứng đầu bộ phận triển khai hệ thống bảo mật thông tin tại SKB Kontur, giải thích những hành động cần thực hiện để ngăn ngừa lây nhiễm vi-rút:
Điểm đặc biệt của virus WannaCry là nó có thể xâm nhập vào hệ thống mà không cần sự can thiệp của con người, không giống như các loại virus mã hóa khác. Trước đây, để vi-rút hoạt động, người dùng cần phải thiếu chú ý - nhấp vào một liên kết đáng ngờ từ một email thực sự không dành cho mình hoặc tải xuống một tệp đính kèm độc hại. Trong trường hợp của WannaCry, một lỗ hổng tồn tại trực tiếp trong chính hệ điều hành đã bị khai thác. Do đó, các máy tính chạy Windows không cài đặt bản cập nhật ngày 14 tháng 3 năm 2017 chủ yếu gặp rủi ro. Một máy trạm bị nhiễm trên mạng cục bộ là đủ để vi-rút lây lan sang những máy khác có lỗ hổng hiện có.
Người dùng bị ảnh hưởng bởi virus đương nhiên có một câu hỏi chính: làm thế nào để giải mã thông tin của họ? Thật không may, vẫn chưa có giải pháp đảm bảo nào và khó có thể đoán trước được. Ngay cả sau khi trả số tiền quy định, vấn đề vẫn không được giải quyết. Ngoài ra, tình hình có thể trở nên trầm trọng hơn khi một người, với hy vọng khôi phục dữ liệu của mình, có nguy cơ sử dụng các bộ giải mã được cho là "miễn phí", nhưng trên thực tế cũng là các tệp độc hại. Vì vậy, lời khuyên chính có thể được đưa ra là hãy cẩn thận và làm mọi cách có thể để tránh tình trạng như vậy.
Chính xác những gì có thể và nên làm vào lúc này:
1. Cài đặt các bản cập nhật mới nhất.
Điều này không chỉ áp dụng cho hệ điều hành mà còn áp dụng cho các công cụ bảo vệ chống vi-rút. Thông tin về việc cập nhật Windows có thể được tìm thấy ở đây.
2. Tạo bản sao lưu các thông tin quan trọng.
3. Hãy cẩn thận khi làm việc với thư tín và Internet.
Bạn cần chú ý đến những email đến có liên kết và tệp đính kèm đáng ngờ. Để làm việc với Internet, bạn nên sử dụng các plugin cho phép bạn loại bỏ các quảng cáo không cần thiết và liên kết đến các nguồn độc hại tiềm ẩn.
Một trong những cách chống virus ransomware là cấm đổi tên file. Nếu chúng tôi biết tệp sẽ nhận được tiện ích mở rộng nào sau khi mã hóa nó bằng vi-rút, thì chúng tôi có thể chỉ cần cấm tạo tệp bằng tiện ích mở rộng này. Chúng tôi cũng sẽ cấm tạo các tệp văn bản đã biết có chứa nhu cầu về ransomware, do đó sẽ giúp bảo vệ khỏi vi-rút không thay đổi phần mở rộng tệp trong quá trình mã hóa.
Cài đặt Trình quản lý tài nguyên máy chủ tệp và định cấu hình mẫu.
Trước tiên, hãy cài đặt vai trò “Trình quản lý tài nguyên máy chủ tệp”. Điều này có thể được thực hiện thông qua Trình quản lý máy chủ hoặc thông qua Quyền lực. Hãy xem xét lựa chọn thứ hai:
Cài đặt-WindowsFeature FS-Resource-Manager -Include ManagementTools
Sau khi cài đặt FSRM, hãy nhớ khởi động lại máy chủ.
Sau khi khởi động lại Bắt đầu -> Chạy -> fsrm.msc
Hãy tạo một nhóm Nhóm tệp chống ransomware và thêm một số tiện ích mở rộng mà chúng tôi muốn chặn.
Việc thêm mọi thứ theo cách thủ công mất nhiều thời gian, vì vậy chúng tôi tự động hóa quy trình. Chúng tôi sẽ lấy danh sách các tiện ích mở rộng bị cấm từ trang web https://fsrm.experiant.ca
Hãy tạo và chạy tập lệnh Powershell với tư cách quản trị viên.
$gr_name = "Nhóm tệp chống ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).content | chuyển đổi từ-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)
Sau khi thực thi script, chúng ta kiểm tra nhóm Nhóm tệp chống ransomware, các phần mở rộng và tên tệp bị chặn sẽ xuất hiện trong đó.
Trong cài đặt mẫu, chọn một nhóm Nhóm tệp chống ransomware nhấn Được rồi. Ngoài ra, bạn có thể thiết lập cảnh báo qua email, nhập nhật ký hoặc khởi chạy tập lệnh hoặc chương trình dựa trên một sự kiện.
Cuối cùng, vào phần Bộ lọc chặn tệp.
Ở đây chúng tôi chỉ ra đường dẫn đến thư mục cần được bảo vệ và mẫu được sử dụng.
Kết quả là, khi bạn cố gắng thay đổi phần mở rộng tệp thành phần mở rộng có trong danh sách của chúng tôi Nhóm tệp chống ransomware chúng ta sẽ nhận được lệnh cấm ghi âm.
Chặn người dùng bị nhiễm bệnh.
Sau khi phát hiện thấy sự lây nhiễm, bạn cần thực hiện hành động chống lại nguồn gốc của mối đe dọa. Cần phải từ chối quyền truy cập vào thư mục dùng chung đối với người dùng đã bắt được ransomware trên máy tính của họ. Để làm điều này, chúng tôi sẽ đặt nó vào đĩa C:\ tài liệu SmbBlock.ps1 với nội dung sau:
Thông số($tên người dùng = “”) Get-SmbShare -Đặc biệt $false | ForEach-Object ( Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force )
Hãy quay trở lại Chặn các mẫu bộ lọc và chọn tab Đội.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Command "& (C:\smbblock.ps1 -tên người dùng ‘’)"
Do việc thực thi tập lệnh, người dùng bị nhiễm sẽ nhận được lệnh cấm cá nhân vào thư mục.
Phương pháp bảo vệ này không phải là giải pháp tuyệt đối cho vấn đề này vì Những kẻ viết virus không đứng yên, nhưng với tư cách là một trong những thành phần bảo vệ toàn diện, nó khá có thể áp dụng được.
Bài viết này được chuẩn bị liên quan đến một cuộc tấn công lớn của hacker trên quy mô toàn cầu, điều này cũng có thể ảnh hưởng đến bạn. Hậu quả trở nên thực sự nghiêm trọng. Dưới đây bạn sẽ tìm thấy mô tả ngắn gọn về vấn đề và mô tả các biện pháp chính cần được thực hiện để bảo vệ khỏi dòng virus ransomware WannaCry.
Mã độc tống tiền WannaCry khai thác lỗ hổng Microsoft Windows MS17-010để thực thi mã độc và chạy ransomware trên các PC dễ bị tấn công, sau đó vi-rút đề nghị trả cho những kẻ tấn công khoảng 300 USD để giải mã dữ liệu. Virus này đã lây lan rộng rãi trên toàn thế giới, nhận được sự đưa tin tích cực trên các phương tiện truyền thông - Fontanka.ru, Gazeta.ru, RBC.
Lỗ hổng này ảnh hưởng đến PC có hệ điều hành Windows được cài đặt từ XP đến Windows 10 và Server 2016; bạn có thể đọc thông tin chính thức về lỗ hổng từ Microsoft và.
Lỗ hổng này thuộc lớp Thực thi mã từ xa, có nghĩa là việc lây nhiễm có thể được thực hiện từ một PC đã bị nhiễm thông qua mạng có mức độ bảo mật thấp mà không có phân đoạn ME - mạng cục bộ, mạng công cộng, mạng khách, cũng như bằng cách khởi chạy phần mềm độc hại nhận được qua thư hoặc dưới dạng liên kết.
Các biện pháp an ninh
Những biện pháp nào cần được xác định là hiệu quả để chống lại loại virus này:
- Đảm bảo bạn đã cài đặt bản cập nhật Microsoft Windows mới nhất để loại bỏ lỗ hổng MS17-010. Bạn có thể tìm thấy các liên kết đến các bản cập nhật và cũng lưu ý rằng do mức độ nghiêm trọng chưa từng có của lỗ hổng này, các bản cập nhật cho hệ điều hành không được hỗ trợ (windowsXP, máy chủ 2003, máy chủ 2008) đã được phát hành vào ngày 13 tháng 5, bạn có thể tải xuống.
- Khi sử dụng các giải pháp bảo mật mạng lớp IPS, hãy đảm bảo rằng bạn đã cài đặt các bản cập nhật bao gồm tính năng phát hiện và giảm thiểu lỗ hổng mạng. Lỗ hổng này được mô tả trong cơ sở kiến thức Check Point; nó có trong bản cập nhật IPS ngày 14 tháng 3 năm 2017, Thực thi mã từ xa Microsoft Windows SMB (MS17-010: CVE-2017-0143). Chúng tôi cũng khuyên bạn nên thiết lập quét lưu lượng truy cập nội bộ trên các phân đoạn mạng quan trọng bằng IPS, ít nhất là trong thời gian ngắn, cho đến khi khả năng lây nhiễm giảm đi.
- Do khả năng xảy ra những thay đổi trong mã vi-rút, chúng tôi khuyên bạn nên kích hoạt hệ thống AntiBot&Antivirus và mô phỏng việc khởi chạy các tệp đến từ các nguồn bên ngoài qua thư hoặc Internet. Nếu bạn là người dùng Cổng bảo mật Check Point thì hệ thống này là Mô phỏng mối đe dọa. Đặc biệt đối với những công ty không có đăng ký này, chúng tôi cung cấp đăng ký nhanh trong thời gian dùng thử 30 ngày. Để yêu cầu khóa kích hoạt đăng ký đầy đủ tính năng cho cổng Check Point của bạn, hãy viết thư tới [email được bảo vệ] Bạn có thể đọc thêm về hệ thống mô phỏng tập tin và.
Thậm chí còn có nhiều đề xuất hơn và một ví dụ về báo cáo về việc ngăn chặn hoạt động của ransomware Wannacry.
Các đồng nghiệp thân mến, dựa trên kinh nghiệm làm việc với các cuộc tấn công lớn trước đây, chẳng hạn như Heart Bleed, lỗ hổng Microsoft Windows MS17-010 sẽ bị khai thác tích cực trong 30-40 ngày tới, đừng trì hoãn các biện pháp đối phó! Để đề phòng, hãy kiểm tra hoạt động của hệ thống BackUp của bạn.
Rủi ro thực sự lớn!
CẬP NHẬT. Vào thứ Năm, ngày 18 tháng 5, lúc 10:00 giờ Moscow, chúng tôi mời bạn tham gia hội thảo trực tuyến về ransomware và các phương pháp bảo vệ.
Hội thảo trực tuyến được thực hiện bởi TS Solution và Sergey Nevstruev, Giám đốc bán hàng phòng chống mối đe dọa điểm kiểm tra Đông Âu.
Chúng tôi sẽ đề cập đến các câu hỏi sau:
- #cuộc tấn công WannaCry
- Phạm vi và hiện trạng
- Đặc điểm
- Yếu tố khối lượng
Làm thế nào để đi trước một bước và ngủ yên
- IPS+AM
- SandBlast: Mô phỏng mối đe dọa và khai thác mối đe dọa
- Tác nhân SandBlast: Chống ransomware
- Đặc vụ SandBlast: Pháp y
- Tác nhân SandBlast: Anti-Bot