Se protéger et protéger les serveurs contre les Ransomware (Locky etc…) grâce a FSRM sous Windows 2008R2 et 2012R2

 

A l’heure actuelle une grosse vague de ransomware est entrain de sévir partout dans le monde. Un ransomware est un logiciel malveillant qui va chiffrer les données et les rendre illisible. Dans ce tutoriel, je vais expliquer comment bloquer les extensions de fichiers des ransomware connus grâce au Gestionnaire de ressources du serveur de fichiers (FSRM) sous Windows Serveur 2012R2 et Windows Serveur 2008R2.

Configuration des alertes

Afin de recevoir une notification si jamais un fichier contenant une extension de ransomware est détecté. Pour cela il faut configurer les paramètres SMTP dans FSRM

Cliquer sur Action puis Configurer les options

Saisir l’adresse IP ou le nom de votre serveur SMTP puis l’adresse email qui va recevoir les notifications et enfin l’adresse e-mail de l’expéditeur puis cliquer sur OK

 Ajout d’un groupe d’extension de fichiers

 

Vous pouvez chercher sur internet une liste à jour des extensions de fichiers connu qu’utilise les ransomware. Voici une liste non-exhaustive

_Locky_recover_instructions.txt

DECRYPT_INSTRUCTIONS.TXT

DECRYPT_INSTRUCTIONS.HTML

DECRYPT_INSTRUCTION.TXT

DECRYPT_INSTRUCTION.HTML

HELP_DECRYPT.TXT

HELP_DECRYPT.HTML

DecryptAllFiles.txt

enc_files.txt

HowDecrypt.txt

How_Decrypt.txt

How_Decrypt.html

HELP_TO_DECRYPT_YOUR_FILES.txt

HELP_RESTORE_FILES.txt

HELP_TO_SAVE_FILES.txt

restore_files*.txt

restore_files.txt

RECOVERY_KEY.TXT

how to decrypt aes files.lnk

HELP_DECRYPT.PNG

HELP_DECRYPT.lnk

DecryptAllFiles*.txt

Decrypt.exe

ATTENTION!!!.txt

AllFilesAreLocked*.bmp

MESSAGE.txt

*.locky

*.ezz

*.ecc

*.exx

*.7z.encrypted

*.ctbl

*.encrypted

*.aaa

*.xtbl

*.abc

*.JUST

*.EnCiPhErEd

*.cryptolocker

,*.micro

*.vvv

*.ecc

*.ezz

*.exx

*.zzz

*.xyz

*.aaa

*.abc

*.ccc

*.vvv

*.xxx

*.ttt

*.micro

*.encrypted

*.locked

*.crypto

*_crypt

*.crinf

*.r5a

*.XRNT

*.XTBL

*.crypt

*.R16M01D05

*.pzdc

*.good

*.LOL!

*.OMG!

*.RDM

*.RRK

*.encryptedRSA

*.crjoker

*.EnCiPhErEd

*.LeChiffre

*.keybtc@inbox_com

*.0x0

*.bleep

*.1999

*.vault

*.HA3

*.toxcrypt

*.magic

*.SUPERCRYPT

*.CTBL

*.CTB2

*.locky

 

2-1 Création du groupe en powershell

 

Il est possible de créer cette liste en powershell avec la commande suivante :

Ouvrir une commande powershell

 

Sous Windows 2012R2 :

 

Sous 2008R2 :

 

 Création d’un groupe via l’interface graphique

Ouvrir le Gestionnaire de ressources du serveur de fichiers (FSRM)

Faire un clic droit sur Groupe de fichiers puis Créer un groupe de fichiers

 

Nommer le groupe de fichiers, dans mon cas Blocage_Locky, saisir les extensions une à une dans le rectangle de saisi fichier à inclure puis cliquer sur Ajouter

L’extension ajoutée se rajoute. Répétez l’opération pour chaque extension

 Création d’un modèle de filtres de fichiers

Saisir le nom du modèle puis cocher votre groupe puis cliquer sur Message Electronique

Pour recevoir une notification par e-mail cocher Envoyer un courrier électronique aux administrateurs suivants puis Saisir un Objet dans mon cas ALERTE LOCKY puis cliquer sur Journal des événements

Cocher Envoyer un avertissement au journal des événements puis cliquer sur Ok pour terminer la configuration

Création d’un filtre de fichiers

Faire un clic droit sur Filtres de fichiers puis Créer un filtre de fichier

Cliquer sur Parcourir puis aller chercher le dossier ou lecteur que vous souhaitez protéger puis sélectionner votre modèle dans Dériver les propriétés de ce modèle de filtre de fichiers puis cliquer sur Créer

Le filtrage est actif, dès lors qu’un fichier portera une extension contenu dans le groupe d’extension un email sera envoyé et le fichier ne pourra pas être renommé

Test

 Depuis un poste client, j’essaye de renommer un fichier .locky

Le message suivant apparait (normal), cliquer sur Oui

Le filtre s’applique et vous obtenez l’erreur suivante

L’email suivant est arrivé dans ma boite de reception

 

 Auteur : Pomente Guillaume : Se proteger et proteger les serveur contre les Ransomware (Locky etc…)