A l’heure actuelle une grosse vague de ransomware est entrain de sévir partout dans le monde. Un ransomware est un logiciel malveillant qui va chiffrer les données et les rendre illisible. Dans ce tutoriel, je vais expliquer comment bloquer les extensions de fichiers des ransomware connus grâce au Gestionnaire de ressources du serveur de fichiers (FSRM) sous Windows Serveur 2012R2 et Windows Serveur 2008R2.
Configuration des alertes
Afin de recevoir une notification si jamais un fichier contenant une extension de ransomware est détecté. Pour cela il faut configurer les paramètres SMTP dans FSRM
Cliquer sur Action puis Configurer les options
Saisir l’adresse IP ou le nom de votre serveur SMTP puis l’adresse email qui va recevoir les notifications et enfin l’adresse e-mail de l’expéditeur puis cliquer sur OK
Ajout d’un groupe d’extension de fichiers
Vous pouvez chercher sur internet une liste à jour des extensions de fichiers connu qu’utilise les ransomware. Voici une liste non-exhaustive
_Locky_recover_instructions.txt
DECRYPT_INSTRUCTIONS.TXT
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTION.HTML
HELP_DECRYPT.TXT
HELP_DECRYPT.HTML
DecryptAllFiles.txt
enc_files.txt
HowDecrypt.txt
How_Decrypt.txt
How_Decrypt.html
HELP_TO_DECRYPT_YOUR_FILES.txt
HELP_RESTORE_FILES.txt
HELP_TO_SAVE_FILES.txt
restore_files*.txt
restore_files.txt
RECOVERY_KEY.TXT
how to decrypt aes files.lnk
HELP_DECRYPT.PNG
HELP_DECRYPT.lnk
DecryptAllFiles*.txt
Decrypt.exe
ATTENTION!!!.txt
AllFilesAreLocked*.bmp
MESSAGE.txt
*.locky
*.ezz
*.ecc
*.exx
*.7z.encrypted
*.ctbl
*.encrypted
*.aaa
*.xtbl
*.abc
*.JUST
*.EnCiPhErEd
*.cryptolocker
,*.micro
*.vvv
*.ecc
*.ezz
*.exx
*.zzz
*.xyz
*.aaa
*.abc
*.ccc
*.vvv
*.xxx
*.ttt
*.micro
*.encrypted
*.locked
*.crypto
*_crypt
*.crinf
*.r5a
*.XRNT
*.XTBL
*.crypt
*.R16M01D05
*.pzdc
*.good
*.LOL!
*.OMG!
*.RDM
*.RRK
*.encryptedRSA
*.crjoker
*.EnCiPhErEd
*.LeChiffre
*.keybtc@inbox_com
*.0x0
*.bleep
*.1999
*.vault
*.HA3
*.toxcrypt
*.magic
*.SUPERCRYPT
*.CTBL
*.CTB2
*.locky
2-1 Création du groupe en powershell
Il est possible de créer cette liste en powershell avec la commande suivante :
Ouvrir une commande powershell
Sous Windows 2012R2 :
New-FsrmFileGroup -Name "Blocage_Locky" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTIONS.HTML", "DECRYPT_INSTRUCTION.TXT", "DECRYPT_INSTRUCTION.HTML", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_TO_DECRYPT_YOUR_FILES.txt", "HELP_RESTORE_FILES.txt", "HELP_TO_SAVE_FILES.txt", "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", "how to decrypt aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "ATTENTION!!!.txt", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*.locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*.xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv", "*.ecc", "*.ezz", "*.exx", "*.zzz", "*.xyz", "*.aaa", "*.abc", "*.ccc", "*.vvv", "*.xxx", "*.ttt", "*.micro", "*.encrypted", "*.locked", "*.crypto", "*_crypt", "*.crinf", "*.r5a", "*.XRNT", "*.XTBL", "*.crypt", "*.R16M01D05", "*.pzdc", "*.good", "*.LOL!", "*.OMG!", "*.RDM", "*.RRK", "*.encryptedRSA", "*.crjoker", "*.EnCiPhErEd", "*.LeChiffre", "*.keybtc@inbox_com", "*.0x0", "*.bleep", "*.1999", "*.vault", "*.HA3", "*.toxcrypt", "*.magic", "*.SUPERCRYPT", "*.CTBL", "*.CTB2", "*.locky" )
Sous 2008R2 :
filescrn.exe filegroup add /filegroup:"Blocage_Locky" /members:"_Locky_recover_instructions.txt|DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTIONS.HTML|DECRYPT_INSTRUCTION.TXT|DECRYPT_INSTRUCTION.HTML|HELP_DECRYPT.TXT|HELP_DECRYPT.HTML|DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt|How_Decrypt.html|HELP_TO_DECRYPT_YOUR_FILES.txt|HELP_RESTORE_FILES.txt|HELP_TO_SAVE_FILES.txt|restore_files*.txt|restore_files.txt|RECOVERY_KEY.TXT|how to decrypt aes files.lnk|HELP_DECRYPT.PNG|HELP_DECRYPT.lnk|DecryptAllFiles*.txt|Decrypt.exe|ATTENTION!!!.txt|AllFilesAreLocked*.bmp|MESSAGE.txt|*.locky|*.ezz|*.ecc|*.exx|*.7z.encrypted|*.ctbl|*.encrypted|*.aaa|*.xtbl|*.abc|*.JUST|*.EnCiPhErEd|*.cryptolocker|*.micro|*.vvv|*.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx|*.ttt|*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf|*.r5a|*.XRNT|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good|*.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker|*.EnCiPhErEd|*.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999|*.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky"
Création d’un groupe via l’interface graphique
Ouvrir le Gestionnaire de ressources du serveur de fichiers (FSRM)
Faire un clic droit sur Groupe de fichiers puis Créer un groupe de fichiers
Nommer le groupe de fichiers, dans mon cas Blocage_Locky, saisir les extensions une à une dans le rectangle de saisi fichier à inclure puis cliquer sur Ajouter
L’extension ajoutée se rajoute. Répétez l’opération pour chaque extension
Création d’un modèle de filtres de fichiers
Saisir le nom du modèle puis cocher votre groupe puis cliquer sur Message Electronique
Pour recevoir une notification par e-mail cocher Envoyer un courrier électronique aux administrateurs suivants puis Saisir un Objet dans mon cas ALERTE LOCKY puis cliquer sur Journal des événements
Cocher Envoyer un avertissement au journal des événements puis cliquer sur Ok pour terminer la configuration
Création d’un filtre de fichiers
Faire un clic droit sur Filtres de fichiers puis Créer un filtre de fichier
Cliquer sur Parcourir puis aller chercher le dossier ou lecteur que vous souhaitez protéger puis sélectionner votre modèle dans Dériver les propriétés de ce modèle de filtre de fichiers puis cliquer sur Créer
Le filtrage est actif, dès lors qu’un fichier portera une extension contenu dans le groupe d’extension un email sera envoyé et le fichier ne pourra pas être renommé
Test
Depuis un poste client, j’essaye de renommer un fichier .locky
Le message suivant apparait (normal), cliquer sur Oui
Le filtre s’applique et vous obtenez l’erreur suivante
L’email suivant est arrivé dans ma boite de reception
Auteur : Pomente Guillaume : Se proteger et proteger les serveur contre les Ransomware (Locky etc…)
Share the post "Se protéger et protéger les serveurs contre les Ransomware (Locky etc…) grâce a FSRM sous Windows 2008R2 et 2012R2"