Compartilhar via

Protegendo Servidor de Arquivos contra Ransomware

  • Artigo

Neste artigo vou mostrar como proteger seu Servidor de Arquivos contra o Ransonware.

O procedimento consiste em bloquear arquivos do Ransomware através de Triagem de Arquivos. Para iniciarmos vamos primeiro entender rapidamente o que é o Ransomware.

O que é o Ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de "resgate" para que o acesso possa ser reestabelecido.

Um exemplo deste tipo de malware é o Arhiveus-A, que compacta arquivos no computador da vítima em um pacote criptografado. Depois, informa que os arquivos somente poderão ser recuperados com o uso de uma senha de 30 dígitos que a vítima receberá após efetuar sua compra em um site do atacante. Trata-se de um golpe ou de fato uma ação extorsiva, pois os crackers podem fornecer, ou não, o código HASH para decriptar os arquivos após o pagamento de "resgate".

Os Ransomwares não permitem acesso externo ao computador infectado como os trojans, a maioria é criada com o propósito comerciais, geralmente são detectados pelos antivírus com uma certa facilidade pois costumam gerar arquivos criptografados grandes, embora alguns possuam opções que escolhem inteligentemente quais pastas criptografar, ou então, permitem que o atacante escolha quais as pastas de interesse.

Acessando o Gerenciador de Recursos de Servidor de Arquivos

Abra o Gerenciador de Recursos de Servidor de Arquivos digitando win+x e clique em Executar ou win+r e digite fsrm.msc

Caso ele não estiver instalado utilize o  cmdlets abaixo para instalado com powershell:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Configurando a notificação via E-mail

Para configurar a notificação via E-mail clique com o botão direito em Gerenciador de Recursos de Servidor de Arquivos, clique em configurar opções.

configure o seu endereço SMTP e os E-mail's de Administradores, exemplo abaixo:

Para confirmar o funcionamento do envio de relatório via e-mail clique em Enviar E-mail de Teste

Configurando a Triagem de Arquivos

Nesta etapa vamos criar um grupo de arquivos chamado: RansomWare File Group, porem para agilizar o processo vamos utilizar o PowerShell.

Baixe o Arquivo PowerShell (PS1) [Clicando Aqui] ou copie o código abaixo e cole no PoweShell ou PowerShell ISE, logo apos execute o comando.

New-FSRMFileGroup -name "Ransomware File Group" -IncludePattern @("*.0x0","*.1999","*.*obleep","*.LOL!","*.aaa","*.abc","*.bleep","*.ccc","*.ctbl","*.ctb2","*.crinf","*.crjoker","*.cry","*.crypto*","*.cryptotorlocker*","*.darkness","*.ecc","*.enc","*.EnCiPhErEd","*.encrypted*","*.exx","*.ezz","*.frtrss","*.good","*.ha3","*.hydracrypt*","*.kb15","*.kraken","*.lechiffre","*.locky","*.magic","*.micro","*.nochance","*.omg!","*.r16M*","*.r5a","*.rdm","*.rrk","*.supercrypt","*.toxcrypt","*.ttt","*.vault","*.vvv","*.xxx","*.xrnt","*.xtbl","*.xyz","*.zzz","*@gmail_com_*","*@india.com*","*gmail*.crypt","*install_tor*.*","*keemail.me*","*qq_com*","*restore_fi*.*","*ukr.net*","*want%syour%sfiles%sback.*","DECRYPT_HELP.*","HELP_YOUR_FILES.*","confirmation.key","cryptolocker.*","decrypt_instruct*.*","djqfu*.*","enc_files.txt","help_decrypt*.*","helpdecrypt*.*","help_recover*.*","help_restore*.*","help_your_file*.*","how%sto%sdecrypt*.*","how_decrypt*.*","how_recover*.*","how_to_decrypt*.*","how_to_recover*.*","howto_restore*.*","howto_restore_file*.*","howtodecrypt*.*","install_tor*.*","instructions_xxxx.png","last_chance.*","message.txt","readme_decrypt*.*","readme_for_decrypt*.*","recovery_file.txt","recovery_key.txt","*recover_instructions.txt","restore_fi.*","vault.hta","vault.key","vault.txt","HELP_TO_DECRYPT_YOUR_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","encryptor_raas_readme_liesmich.txt","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","DECRYPT_ReadMe.TXT","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","RECOVERY_FILES.txt","RECOVERY_FILE*.txt","HowtoRESTORE*.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt","newFilter.txt")

Após executar estes cmdlets, vá ate o Gerenciador de Recursos de Servidor de Arquivos, clique em Gerenciamento de Triagem de Arquivos, depois clique em Grupo de Arquivos e observe que possui um grupo chamado Ransomware File Group.

Em Gerenciamento de Triagem de Arquivos clique em Triagem de Arquivos, no menu Ações clique em Criar Triagem de Arquivos;

Configure o Caminho da Triagem de Arquivos, este pode ser a Pasta Principal do seu File Server;

Marque Definir propriedades personalizadas da triagem de arquivo e clique em Propriedades Personalizadas;

Apos abrir as Propriedades da Triagem, marque a opção Triagem ativa, selecione o Grupo de Arquivos Ransomware File Group e clique em OK.

Depois clique em Criar, será aberta uma Janela chamada Salvar Propriedades Personalizadas Como Modelo;

Marque a opção Salvar a Triagem de arquivos personalizados sem criar um modelo e clique em OK.

Pronto, apos realizar todos estes passos o seu servidor não vai aceitar nenhum tipo de arquivos que esteja no grupo Ransomware File Group.

Conclusão

Neste artigo vimos como proteger um Servidor de Arquivos contra Ransomware utilizando Triagem de Arquivos.