Protection Serveurs contre les RansomWare CryptoLocker avec FSRM

Mise a jour le 18/04/2023

Un ransomware est un logiciel malveillant qui va chiffrer les données et les rendre illisible.
Voici une méthode pour lutter efficacement contre ce type d’attaque grâce au Gestionnaire de ressources du serveur de fichiers (FSRM) sous Windows Serveur 2012R2 2016 2019.


Installer le Gestionnaire de ressources du serveur de fichiers (FSRM)

Ouvrir le gestionnaire de serveur > Gérer > Ajouter des rôles et fonctionnalités

Crypto1

Ajouter le service de rôle > Gestionnaire de ressources du serveur de fichiers

Crypto2


Configuration des alertes Mail

Recevoir une notification, un mail, si jamais un fichier contenant une extension de ransomware est détecté. Pour cela il faut configurer les paramètres SMTP dans FSRM

Gestionnaire de ressources du serveur de fichiers > Configurer les options

Crypto3

Notifications par courrier électronique

Saisir le nom de votre serveur SMTP puis l’adresse email qui va recevoir les notifications et l’adresse e-mail de l’expéditeur.

Crypto4

Réglage des « Limites de notifications » puis cliquer sur OK

Crypto5


Ajout d’un groupe d’extension de fichiers > Création du groupe en PowerShell

Il est possible de créer cette liste en PowerShell avec les Fichiers de Commandes PowerShell suivants :

Création du groupe :

New-FsrmFileGroup -Name "Blocage_CryptoLocker" -IncludePattern @((Invoke-WebRequest -Uri "https://raw.githubusercontent.com/DFFspace/CryptoBlocker/master/KnownExtensions.txt").content | convertfrom-json | % {$_.filters})

Mise a jour du groupe :

Set-FsrmFileGroup -Name "Blocage_CryptoLocker" -IncludePattern @((Invoke-WebRequest -Uri "https://raw.githubusercontent.com/DFFspace/CryptoBlocker/master/KnownExtensions.txt").content | convertfrom-json | % {$_.filters})

Note : Si vous rencontrez une erreur concernant les autorisations d’exécution, saisir la commande suivante en PowerShell :

Set-ExecutionPolicy Unrestricted

Le groupe de fichiers est créé !


Création d’un modèle de filtres de fichiers

Modèles de filtres de fichiers > Créer un modèle de filtre de fichiers…

Crypto7

Paramètres > Saisir le Nom du modèle puis cocher le groupe « Blockage_CryptoLocker »

Crypto8

Message Electronique > Cocher « Envoyer un courrier électronique aux administrateurs suivants » puis Saisir un Objet « ALERTE CRYPTO LOCKER »

Crypto9

Journal des événements > Cocher « Envoyer un avertissement au journal des événements »

Crypto10


Création d’un filtre de fichiers

Filtres de fichiers > Créer un filtre de fichier…

Crypto11

Sélectionner « Parcourir » pour rechercher le dossier ou le lecteur que vous souhaitez protéger puis sélectionner votre modèle dans « Dériver les propriétés de ce modèle de filtre de fichiers » puis cliquer sur « Créer »

Crypto12

Le filtrage est actif ! Dès lors qu’un fichier portera une extension contenu dans le groupe d’extension, un email sera envoyé et le fichier ne pourra pas être renommé.


Automatiser la mise à jour avec le « Planificateur de taches »

Panneau de configuration > Outils d’administrations > Planificateur de tâches > Créer une nouvelle tâche

Configurer l’onglet « Déclencheurs » puis « Actions »

  • Programme/script > %windir%\system32\WindowsPowerShell\v1.0\powershell.exe
  • Ajouter des arguments > C:\Crypto-MAJ.ps1

Note : Le chemin et le Nom du script PowerShell ne doivent pas contenir d’espaces > Renommer le fichier « Crypto Mise a Jour Groupe.ps1 »


Test

Depuis un poste client, je renomme un fichier en .locky

Crypto13

Le message suivant apparait (normal), cliquer sur Oui

Crypto14

Le filtre s’applique et vous obtenez l’erreur suivante

Crypto15

L’email suivant est arrivé dans ma boite de réception

Crypto16