इस लेख में, हम रैंसमवेयर का पता लगाने और उसे ब्लॉक करने के लिए Windows Server 2012 R2 चलाने वाले फ़ाइल सर्वर पर फ़ाइल सर्वर संसाधन प्रबंधक (FSRM) सुविधाओं का उपयोग करने के तरीकों पर विचार करेंगे। विशेष रूप से, हम बताएंगे कि फ़ाइल सर्वर पर FSRM सेवा कैसे स्थापित करें, फ़ाइल स्क्रीनिंग को कॉन्फ़िगर करें, और रैंसमवेयर डिटेक्शन के मामले में उपयोगकर्ता को साझा करने से रोकें।
FSRM का उपयोग करके रैंसमवेयर का पता कैसे लगाएं
यदि फ़ाइल सर्वर संसाधन प्रबंधक (FSRM) सुविधा आपके फ़ाइल सर्वर पर स्थापित नहीं है, तो सर्वर प्रबंधक ग्राफ़िक कंसोल या पावरशेल कमांड प्रॉम्प्ट का उपयोग करके इसे स्थापित करें:
Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools
सुनिश्चित करें कि भूमिका स्थापित हो गई है:
Get-WindowsFeature -Name FS-Resource-Manager
सुविधा स्थापित होने के बाद, सर्वर को पुनरारंभ करें।
ई-मेल सूचनाएं भेजने के लिए FSRM की SMTP सेटिंग्स को कैसे कॉन्फ़िगर करें
अगला चरण व्यवस्थापकों को ई-मेल सूचनाएं भेजने के लिए FSRM की SMTP सेटिंग्स को कॉन्फ़िगर करना है। ऐसा करने के लिए, fsrm.msc शुरू करें , फ़ाइल सर्वर संसाधन प्रबंधक कंसोल के रूट पर राइट-क्लिक करें और विकल्प कॉन्फ़िगर करें select चुनें ।
एसएमटीपी सर्वर नाम या आईपी पता, व्यवस्थापक और प्रेषक ई-मेल पते निर्दिष्ट करें।
टिप . यदि आपके पास आंतरिक मेल सर्वर नहीं है, तो आप SMTP रिले का उपयोग करके मेल भेजने को कॉन्फ़िगर कर सकते हैं।
यह सुनिश्चित करने के लिए कि एसएमटीपी सर्वर ठीक से कॉन्फ़िगर किया गया है, टेस्ट ई-मेल बटन भेजें। का उपयोग करके एक परीक्षण ई-मेल भेजें।
FSRM की SMTP सेटिंग्स को PowerShell से भी कॉन्फ़िगर किया जा सकता है:
Set-FsrmSetting -AdminEmailAddress "[email protected]" –smtpserver smtp.adatum.com –FromEmailAddress "[email protected]"
रैंसमवेयर के लिए फ़ाइल एक्सटेंशन का समूह कैसे बनाएं
अगला कदम ज्ञात एक्सटेंशन और फ़ाइल नामों वाली फाइलों का एक समूह बनाना है, जो एन्क्रिप्शन मैलवेयर द्वारा अपने काम के दौरान बनाया गया है।
यह सूची FSRM कंसोल में बनाई जा सकती है। ऐसा करने के लिए, विस्तृत करें फ़ाइल स्क्रीनिंग प्रबंधन -> फ़ाइल समूह और फ़ाइल समूह बनाएं . चुनें ।
आपको समूह का नाम निर्दिष्ट करना होगा (उदाहरण के लिए, क्रिप्टो-फाइलें ) और शामिल करने के लिए फ़ाइलें . का उपयोग करके सूची में सभी ज्ञात एक्सटेंशन दर्ज करें फ़ील्ड.
रैंसमवेयर द्वारा बनाए गए ज्ञात फ़ाइल एक्सटेंशन की सूची काफी लंबी है, इसलिए पावरशेल का उपयोग करके इसे बनाना आसान है।
Windows Server 2012 में, आप निम्नानुसार PowerShell का उपयोग करके फ़ाइल समूह बना सकते हैं:
New-FsrmFileGroup -Name "Crypto-files" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTION.TXT", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_RESTORE_FILES.txt", , "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", "how to decrypt aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*.locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*.xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")
Windows Server 2008 R2 में, आपको filescrn.exe का उपयोग करना होगा:
filescrn.exe filegroup add /filegroup:"Crypto-files" /members:"DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTION.TXT| DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt| How_Decrypt.html|HELP_TO_DECRYPT_YOUR_FILES.txt|HELP_RESTORE_FILES.txt| HELP_TO_SAVE_FILES.txt|restore_files*.txt| restore_files.txt|RECOVERY_KEY.TXT|HELP_DECRYPT.PNG|HELP_DECRYPT.lnk| DecryptAllFiles*.txt|Decrypt.exe|ATTENTION!!!.txt|AllFilesAreLocked*.bmp| MESSAGE.txt|*.locky|*.ezz|*.ecc|*.exx|*.7z.encrypted|*.ctbl| *.encrypted|*.aaa|*.xtbl|*.EnCiPhErEd|*.cryptolocker|*.micro|*.vvv| *.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx| *.ttt|*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf| *.r5a|*.XRNT|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good| *.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker| *.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999| *.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky"
https://www.bleib-virenfrei.de/ransomware/
https://fsrm.experiant.ca/api/v1/combined
दूसरे मामले में, आप Invoke-WebRequest का उपयोग करके सीधे वेबसर्वर से FSRM के लिए फ़ाइल एक्सटेंशन की अप-टू-डेट सूची डाउनलोड कर सकते हैं
new-FsrmFileGroup -name "Anti-Ransomware File Groups" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})
या एक तैयार फ़ाइल का उपयोग करें Crypto_extensions.txt. आप इस फ़ाइल को डिस्क में सहेज सकते हैं और इसके साथ बनाए गए FSRM फ़ाइल समूह को अपडेट कर सकते हैं:
$ext_list = Get-Content .\ransomware_extensions.txt Set-FsrmFileGroup -Name "Crypto-files" -IncludePattern ($ext_list)
फ़ाइल स्क्रीन टेम्प्लेट कॉन्फ़िगरेशन
यदि इन फ़ाइलों का पता लगाता है, तो FSRM द्वारा निष्पादित की जाने वाली क्रियाओं को निर्धारित करने के लिए एक नया फ़ाइल स्क्रीन टेम्पलेट बनाएँ। ऐसा करने के लिए, FSRM कंसोल में फ़ाइल स्क्रीन प्रबंधन -> फ़ाइल स्क्रीन टेम्पलेट पर जाएं . फ़ाइल स्क्रीन टेम्प्लेट बनाएं . का चयन करके एक नया टेम्प्लेट बनाएं ।
सेटिंग टैब में, टेम्प्लेट नाम निर्दिष्ट करें “Block_crypto_files ”, स्क्रीनिंग प्रकार सक्रिय स्क्रीनिंग (इन फ़ाइल प्रकारों को सहेजने की अनुमति न दें) और फ़ाइल समूहों की सूची में क्रिप्टो-फ़ाइलें चुनें।
ई-मेल संदेश . में टैब, ई-मेल सूचनाएं भेजने में सक्षम करें और संदेश विषय और मुख्य भाग का पाठ निर्दिष्ट करें।
इवेंट में लॉग करें टैब, केवल उपयोगकर्ता का नाम निर्दिष्ट करने के लिए नोट के साथ सिस्टम लॉग में प्रविष्टि करने की जांच करें:[Source Io Owner]
कमांड . में टैब में, आप चुन सकते हैं कि यदि इनमें से किसी एक फ़ाइल प्रकार का पता चलता है तो क्या करें। हम इस पर थोड़ी देर बाद चर्चा करेंगे।
परिवर्तनों को सुरक्षित करें। सूची में एक और टेम्पलेट दिखाई देगा।
डिस्क या फ़ोल्डर में फ़ाइल स्क्रीन टेम्पलेट कैसे लागू करें
अब आपको केवल बनाए गए टेम्पलेट को अपने सर्वर पर डिस्क या नेटवर्क साझा करने के लिए असाइन करना होगा। FSRM कंसोल में, एक नया नियम बनाएं फ़ाइल स्क्रीन बनाएं ।
फ़ाइल स्क्रीन पथ फ़ील्ड में, स्थानीय डिस्क या उस निर्देशिका का पथ निर्दिष्ट करें जिसे आप रैंसमवेयर से सुरक्षित रखना चाहते हैं, और टेम्प्लेट की सूची में पहले बनाए गए टेम्प्लेट Block_crypto_files का चयन करें।
रैंसमवेयर से संक्रमित उपयोगकर्ता का स्वचालित ब्लॉक
यदि एन्क्रिप्शन मैलवेयर द्वारा बनाई गई फ़ाइलों का पता लगाया जाता है, तो अब आपको उस क्रिया को कॉन्फ़िगर करना होगा जो FSRM करेगा। हम एक तैयार स्क्रिप्ट का उपयोग करेंगे:FSRM और Powershell का उपयोग करके अपने फ़ाइल सर्वर को Ransomware से सुरक्षित रखें (https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce)। यह स्क्रिप्ट क्या करती है? नेटवर्क शेयर में प्रतिबंधित फ़ाइल प्रकार लिखने के प्रयास में, FSRM इस स्क्रिप्ट को चलाता है, जो इवेंट लॉग का विश्लेषण करता है और उपयोगकर्ता को साझा फ़ोल्डर में फ़ाइलें लिखने से रोकता है। इस प्रकार, संक्रमित उपयोगकर्ता की नेटवर्क शेयर तक पहुंच अवरुद्ध हो जाएगी।
इस स्क्रिप्ट को डाउनलोड करें और इसे अपने फ़ाइल सर्वर पर C:\ निर्देशिका के मूल में अनपैक करें। कॉपी SubInACL (एक उपकरण जो नेटवर्क शेयर के लिए अनुमतियों को बदलने की अनुमति देता है) उसी निर्देशिका में। निम्नलिखित फाइलें निर्देशिका में स्थित होनी चाहिए:
- RansomwareBlockSmb.ps1
- RansomwareBlockSmb.cmd शुरू करें
- subinacl.exe
$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"
और
if ($Rule -match "Crypto-Files")
“ब्लॉक क्रिप्टो फ़ाइलें” टेम्पलेट सेटिंग्स के कमांड टैब में, निर्दिष्ट करें कि StartRansomwareBlockSmb.cmd तर्क वाले कमांड प्रॉम्प्ट को प्रारंभ किया जाना चाहिए:
यह आदेश या स्क्रिप्ट चलाएँ: c:\windows\system32\cmd.exe
आदेश तर्क :/c "c:\StartRansomwareBlockSmb.cmd"
कमांड को लोकल सिस्टम के रूप में चलाना होता है।
FSRM सुरक्षा परीक्षण
आइए परीक्षण करें कि FSRM रैंसमवेयर से कैसे सुरक्षा करता है। ऐसा करने के लिए, संरक्षित निर्देशिका में किसी भी एक्सटेंशन के साथ एक फ़ाइल बनाएं और इस एक्सटेंशन को प्रतिबंधित .locky में बदलने का प्रयास करें।
निषिद्ध फ़ाइल को सहेजने का प्रयास करते समय, FSRM लॉग में एक प्रविष्टि करेगा:
Event ID: 8215
Source: SRMSVC
लॉग से डेटा के आधार पर, RansomwareBlockSmb.ps1 स्क्रिप्ट वर्तमान उपयोगकर्ता को शेयर एक्सेस अनुमतियों को बदलकर, इस निर्देशिका तक पहुँचने से रोक देगी।
संरक्षण काम करता है! डिस्क की जड़ में स्थित लॉग में आप निर्देशिका और उपयोगकर्ता खाते को देख सकते हैं जिससे रैंसमवेयर को चलाने का प्रयास किया गया है।
यदि आपको उच्च सुरक्षा स्तर की आवश्यकता है, तो आप फ़ाइलों की काली सूची से श्वेत सूची में स्विच कर सकते हैं, और फिर आप केवल अनुमत फ़ाइल प्रकारों को सहेजने में सक्षम होंगे।
इसलिए, हमने उन उपयोगकर्ताओं के लिए नेटवर्क शेयर एक्सेस को स्वचालित रूप से ब्लॉक करने पर विचार किया है जिनके कंप्यूटर रैंसमवेयर से संक्रमित हैं। स्वाभाविक रूप से, इस तरह से FSRM का उपयोग करने से आपके सर्वर की फ़ाइलों को इस तरह के मैलवेयर से पूरी तरह से सुरक्षित नहीं किया जा सकता है, लेकिन यह सुरक्षा स्तरों में से एक के रूप में उपयुक्त है। अगले लेखों में, हम एन्क्रिप्शन रैंसमवेयर से सुरक्षा के एक अन्य प्रकार पर विचार करेंगे:
- रैंसमवेयर से संक्रमित होने के बाद वीएसएस स्नैपशॉट से उपयोगकर्ता फ़ाइलों को कैसे पुनर्प्राप्त करें
- रैंसमवेयर को रोकने के लिए सॉफ़्टवेयर प्रतिबंध नीतियां