Protection serveurs contre les RansomWare CryptoLocker avec FSRM Windows 2008R2 2012R2

Mise a jour le 16/05/2017

  • Ajout extensions pour WannaCry

Un ransomware est un logiciel malveillant qui va chiffrer les données et les rendre illisible. Voici une méthode pour lutter efficacement contre ce type d’attaque grâce au Gestionnaire de ressources du serveur de fichiers (FSRM) sous Windows Serveur 2012R2 et Windows Serveur 2008R2.

Installer le Gestionnaire de ressources du serveur de fichiers (FSRM)

Ouvrir le gestionnaire de serveur – GérerAjouter des rôles et fonctionnalités

Crypto1

Ajouter le service de rôle : Gestionnaire de ressources du serveur de fichiers

Crypto2

Configuration des alertes

Afin de recevoir une notification si jamais un fichier contenant une extension de ransomware est détecté. Pour cela il faut configurer les paramètres SMTP dans FSRM

Cliquer droit puis Configurer les options

Crypto3

Saisir l’adresse IP ou le nom de votre serveur SMTP puis l’adresse email qui va recevoir les notifications et enfin l’adresse e-mail de l’expéditeur, réglage limites puis cliquer sur OK

Crypto4

Crypto5

Ajout d’un groupe d’extension de fichiers

 Création du groupe en powershell

Il est possible de créer cette liste en powershell avec la commande suivante :

Ouvrir une commande powershell

Sous Windows 2012R2 :

New-FsrmFileGroup -Name “Blocage_CryptoLocker” –IncludePattern @(“_Locky_recover_instructions.txt”,”DECRYPT_INSTRUCTIONS.TXT”, “DECRYPT_INSTRUCTIONS.HTML”, “DECRYPT_INSTRUCTION.TXT”, “DECRYPT_INSTRUCTION.HTML”, “HELP_DECRYPT.TXT”, “HELP_DECRYPT.HTML”, “DecryptAllFiles.txt”, “enc_files.txt”, “HowDecrypt.txt”, “How_Decrypt.txt”, “How_Decrypt.html”, “HELP_TO_DECRYPT_YOUR_FILES.txt”, “HELP_RESTORE_FILES.txt”, “HELP_TO_SAVE_FILES.txt”, “restore_files*.txt”, “restore_files.txt”, “RECOVERY_KEY.TXT”, “how to decrypt aes files.lnk”, “HELP_DECRYPT.PNG”, “HELP_DECRYPT.lnk”, “DecryptAllFiles*.txt”, “Decrypt.exe”, “ATTENTION!!!.txt”, “AllFilesAreLocked*.bmp”, “MESSAGE.txt”, “*.7z.encrypted”, “*.ctbl”, “*.xtbl”, “*.abc”, “*.JUST”, “*.cryptolocker”, “*.ecc”, “*.ezz”, “*.exx”, “*.zzz”, “*.xyz”, “*.aaa”, “*.ccc”, “*.vvv”, “*.xxx”, “*.ttt”, “*.micro”, “*.encrypted”, “*.locked”, “*.crypto”, “*_crypt”, “*.crinf”, “*.r5a”, “*.XRNT”, “*.crypt”, “*.R16M01D05”, “*.pzdc”, “*.good”, “*.LOL!”, “*.OMG!”, “*.RDM”, “*.RRK”, “*.encryptedRSA”, “*.crjoker”, “*.EnCiPhErEd”, “*.LeChiffre”, “*.keybtc@inbox_com”, “*.0x0”, “*.bleep”, “*.1999”, “*.vault”, “*.HA3”, “*.toxcrypt”, “*.magic”, “*.SUPERCRYPT”, “*.CTB2”, “*.locky”, “*.*CRY”, “*.wnry”, “@WanaDecryptor@”)

Sous 2008R2 :

filescrn.exe filegroup add /filegroup:”Blocage_CryptoLocker” /members:”_Locky_recover_instructions.txt|DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTIONS.HTML|DECRYPT_INSTRUCTION.TXT|DECRYPT_INSTRUCTION.HTML|HELP_DECRYPT.TXT|HELP_DECRYPT.HTML|DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt|How_Decrypt.html|HELP_TO_DECRYPT_YOUR_FILES.txt|HELP_RESTORE_FILES.txt|HELP_TO_SAVE_FILES.txt|restore_files*.txt|restore_files.txt|RECOVERY_KEY.TXT|how to decrypt aes files.lnk|HELP_DECRYPT.PNG|HELP_DECRYPT.lnk|DecryptAllFiles*.txt|Decrypt.exe|ATTENTION!!!.txt|AllFilesAreLocked*.bmp|MESSAGE.txt|*.7z.encrypted|*.ctbl|*.xtbl|*.JUST|*.cryptolocker|*.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx|*.ttt|*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf|*.r5a|*.XRNT|*.crypt|*.R16M01D05|*.pzdc|*.good|*.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker|*.EnCiPhErEd|*.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999|*.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTB2|*.locky|*.*CRY|*.wnry|@WanaDecryptor@”

Crypto6

Création d’un modèle de filtres de fichiers

Crypto7

Saisir le nom du modèle puis cocher votre groupe puis cliquer sur Message Electronique

Crypto8

Pour recevoir une notification par e-mail cocher Envoyer un courrier électronique aux administrateurs suivants puis Saisir un Objet “ALERTE CRYPTO LOCKER” puis cliquer sur Journal des événements

Crypto9

Cocher Envoyer un avertissement au journal des événements puis cliquer sur Ok pour terminer la configuration

Crypto10

Création d’un filtre de fichiers

Faire un clic droit sur Filtres de fichiers puis Créer un filtre de fichier

Crypto11

Cliquer sur Parcourir puis aller chercher le dossier ou lecteur que vous souhaitez protéger puis sélectionner votre modèle dans Dériver les propriétés de ce modèle de filtre de fichiers puis cliquer sur Créer

Crypto12

Le filtrage est actif, dès lors qu’un fichier portera une extension contenu dans le groupe d’extension un email sera envoyé et le fichier ne pourra pas être renommé

Test

Depuis un poste client, j’essaye de renommer un fichier .locky

Crypto13

Le message suivant apparait (normal), cliquer sur Oui

Crypto14

Le filtre s’applique et vous obtenez l’erreur suivante

Crypto15

L’email suivant est arrivé dans ma boite de réception

Crypto16