Protegendo File Server (Win2012R2) do Ransomware

Na semana passado o mundo quase parou devido ao vírus de criptografia (Tipo Ransomware), realizei algumas pesquisa (fontes no final) para melhorar a segurança nos servidores File Server Resource Manager (FSRM) do Windows Server 2012 R2, siga os passos abaixo que irão auxiliar para o aumento na segurança. 

Script em Powershell (PS) para incluir o grupo de arquivos e extensões utilizadas pelo vírus. Esse script inclui a restrição no FSRM do Windows 2012 R2 desses arquivos e extensões, veja abaixo:

New-FsrmFileGroup -Name "Crypt Files" -IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT","DECRYPT_INSTRUCTION.TXT","HELP_DECRYPT.TXT","HELP_DECRYPT.HTML","HELP_TO_DECRYPT_YOUR_FILES.txt","HELP_TO_SAVE_FILES.txt","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","DecryptAllFiles*.txt","DecryptAllFiles.txt","enc_files.txt","HowDecrypt.txt","How_Decrypt.txt","How_Decrypt.html","HELP_RESTORE_FILES.txt","restore_files*.txt","restore_files.txt","RECOVERY_KEY.TXT","ATTENTION!!!.txt","how to decrypt aes files.lnk","HELP_DECRYPT.PNG","HELP_DECRYPT.lnk","Decrypt.exe","AllFilesAreLocked*.bmp","MESSAGE.txt","*.locky","*.ezz","*.ecc","*.exx","*.7z.encrypted","*.ctbl","*.encrypted","*.aaa","*.xtbl","*.abc","*.JUST","*.EnCiPhErEd","*.cryptolocker","*.micro","*.vvv","*.zzz","*.xyz","*.ccc","*.xxx","*.ttt","*.locked","*.crypto","*_crypt","*.crinf","*.r5a","*.XRNT","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2")

Note que após a execução do PS, o grupo foi criado e já consta na lista, veja abaixo:

Depois crie um novo template com o nome “Block Crypt Files” a atribua o File Groups “Block Crypt” criado anteriormente, veja abaixo:

Depois crie a regra para todas as unidades do servidor atribuindo o template “Block Crypt Files”, conforme abaixo:

Isso irá bloquear salvar os tipos de arquivos utilizados pelos vírus de criptografia (tipo o Wanna Cry – Ransomware) no servidor.

Fontes:

  • https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce
  • https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
  • https://www.scconfigmgr.com/2017/03/21/protect-file-servers-from-ransomware-with-sccm-cicb/