हम रैंसमवेयर के खिलाफ़ उपायों से संबंधित लेखों की श्रृंखला के साथ आगे बढ़ते हैं। पिछली बार हमने एन्क्रिप्शन रैंसमवेयर के खिलाफ सुरक्षा का एक आसान तरीका माना था। एफएसआरएम का उपयोग कर विंडोज फाइल सर्वर पर। आज हम बात करेंगे कि कैसे आपकी फ़ाइलों को आसानी से पुनर्प्राप्त किया जा सकता है यदि रैंसमवेयर पहले से ही कंप्यूटर पर प्रवेश कर चुका है और उपयोगकर्ता दस्तावेज़ एन्क्रिप्ट किए गए हैं।
एन्क्रिप्ट करने वाले रैंसमवेयर से संक्रमित होने के बाद मूल फ़ाइलों को वापस पाने का सबसे आसान तरीका उन्हें बैकअप से पुनर्प्राप्त करना है। आप अपने फ़ाइल सर्वर पर एक केंद्रीकृत बैकअप व्यवस्थित कर सकते हैं, लेकिन उपयोगकर्ता कंप्यूटर पर डेटा का बैकअप लेना अधिक कठिन है। सौभाग्य से, विंडोज़ में एक एकीकृत बैकअप तंत्र है — छाया प्रतियां वॉल्यूम शैडो कॉपी सर्विस (VSS) . द्वारा निर्मित ।
VSS स्नैपशॉट से फ़ाइलों के पिछले संस्करणों को पुनर्प्राप्त करना संभव बनाने के लिए, निम्नलिखित आवश्यकताओं को पूरा करना होगा:
- VSS को सुरक्षित वॉल्यूम के लिए सक्षम करना होगा
- स्नैपशॉट स्टोर करने के लिए आपकी डिस्क पर पर्याप्त खाली जगह होनी चाहिए (कम से कम 10-20%)
- उपयोगकर्ता के पास कंप्यूटर पर स्थानीय व्यवस्थापक विशेषाधिकार नहीं होने चाहिए (अधिकांश आधुनिक एन्क्रिप्शन मैलवेयर जब उन्नत चल रहे होते हैं तो सभी उपलब्ध VSS स्नैपशॉट हटा देते हैं), और उपयोगकर्ता खाता नियंत्रण (UAC) सक्षम होना चाहिए
आइए एक तंत्र पर विचार करें जो सक्रिय निर्देशिका डोमेन वातावरण में स्नैपशॉट बनाने की नीति को केंद्रीय रूप से प्रबंधित करने और एन्क्रिप्शन रैंसमवेयर हमले के बाद मूल फ़ाइलों को आसानी से पुनर्स्थापित करने की अनुमति देता है।
सामग्री:
- GPO का उपयोग करके डोमेन कंप्यूटर पर VSS कैसे सक्षम करें
- GPO का उपयोग करके उपयोगकर्ता कंप्यूटर पर Vshadow.exe की प्रतिलिपि कैसे करें
- सभी खंडों की छाया प्रतियाँ बनाने के लिए PowerShell स्क्रिप्ट
- वीएसएस स्नैपशॉट बनाने के लिए निर्धारित कार्य
- VSS स्नैपशॉट से मूल फ़ाइलें कैसे पुनर्प्राप्त करें
- निष्कर्ष
GPO का उपयोग करके डोमेन कंप्यूटर पर VSS कैसे सक्षम करें
सबसे पहले, डोमेन कंप्यूटर पर वॉल्यूम शैडो कॉपी (वीएसएस) सेवा को सक्षम करने के लिए एक समूह नीति बनाएं। ऐसा करने के लिए, GPMC.msc . में कंसोल VSSPolicy . नाम से एक नया GPO ऑब्जेक्ट बनाएं और इसे उपयोगकर्ता कंप्यूटर वाले OU को असाइन करें।
अब अपना GPO संपादित करें। कंप्यूटर कॉन्फ़िगरेशन->Windows सेटिंग->सुरक्षा सेटिंग->सिस्टम सेवा में सेवाओं की सूची में वॉल्यूम शैडो कॉपी find ढूंढें और स्वचालित . सेट करें प्रारंभ प्रकार।
GPO का उपयोग करके Vshadow.exe को उपयोगकर्ता कंप्यूटर पर कैसे कॉपी करें
उपयोगकर्ता कंप्यूटरों पर छाया प्रतियाँ बनाने और प्रबंधित करने के लिए, हमें एक उपकरण की आवश्यकता होती है vshadow.exe विंडोज एसडीके से। इस उदाहरण में, हम विंडोज 7 x64 के लिए एसडीके से वीशैडो का उपयोग करेंगे (मेरे मामले में यह विंडोज 7 और विंडोज 10 x64 दोनों में सही ढंग से काम करता है)। GPP का उपयोग करके सभी कंप्यूटरों पर vshadow.exe को %windir%\system32 पर कॉपी करें।
युक्ति <मजबूत>। आप इस लिंक का उपयोग करके vshadow.exe डाउनलोड कर सकते हैं: vshadow_exe_win7x64.zip
फिर कंप्यूटर कॉन्फ़िगरेशन -> प्राथमिकताएं -> Windows सेटिंग -> फ़ाइलें . में एक नई नीति बनाएं जो vshadow.exe को \\domain.loc\SYSVOL\domain.loc\scripts\vshadow.exe से कॉपी करे (फ़ाइल को पहले यहां कॉपी किया जाना चाहिए) से %windir%\system32\vshadow.exe . इस नीति को कॉन्फ़िगर किया जा सकता है ताकि यह केवल एक बार काम करे (एक बार आवेदन करें और दोबारा आवेदन न करें)।
सभी खंडों की छाया प्रतियां बनाने के लिए PowerShell स्क्रिप्ट
इसके बाद, हमें सिस्टम में ड्राइव की सूची का पता लगाने, शैडोइंग को सक्षम करने और एक नया VSS स्नैपशॉट बनाने के लिए एक स्क्रिप्ट की आवश्यकता है। मेरे पास निम्न स्क्रिप्ट है:
$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c $vssadminEnable
cmd /c $vsscreatess
}
पहला स्ट्रिंग सिस्टम में सभी ड्राइव्स को खोजने की अनुमति देता है, और फिर vshadow प्रत्येक डिस्क के लिए शैडो को सक्षम करता है और एक नई कॉपी बनाता है। कॉपियों में 10% से कम जगह होनी चाहिए।
इस स्क्रिप्ट को फ़ाइल में सहेजें vss-script.ps1 और इसे GPP का उपयोग करके उपयोगकर्ता कंप्यूटर पर भी कॉपी करें।
वीएसएस स्नैपशॉट बनाने के लिए शेड्यूल किया गया कार्य
आखिरी चीज जो आपको करनी है वह है सभी कंप्यूटरों पर नियमित रूप से vss-script.ps1 चलाने के लिए एक शेड्यूल्ड टास्क बनाना और सभी ड्राइव के लिए एक नया स्नैपशॉट बनाना। GPP का उपयोग करके इस कार्य को बनाना आसान है। ऐसा करने के लिए, GPO अनुभाग में कंप्यूटर कॉन्फ़िगरेशन -> प्राथमिकताएं -> शेड्यूल किए गए कार्य vssnapshot बनाएं नाम से एक नया शेड्यूल्ड टास्क (नया-> शेड्यूल्ड टास्क (कम से कम विंडोज 7)) बनाएं , जिसे NT AUTHORITY\System . के रूप में उन्नत किया जाना चाहिए .
मान लीजिए, टास्क को हर दिन दोपहर 1.20 बजे चलाना है (यहां आपको सोचना होगा कि आप कितनी बार स्नैपशॉट बनाना चाहेंगे)।
चलाई जाने वाली स्क्रिप्ट:%windir%\System32\WindowsPowerShell\v1.0\powershell.exe
तर्क के साथ %windir%\system32\vss-script.ps1
$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c $vssadminDeleteOld
VSS स्नैपशॉट से मूल फ़ाइलें कैसे पुनर्प्राप्त करें
यदि उपयोगकर्ता का कंप्यूटर रैंसमवेयर से संक्रमित हो गया है, तो व्यवस्थापक या तकनीकी सहायता टीम के कर्मचारी स्नैपशॉट से एन्क्रिप्ट किए गए दस्तावेज़ों को पुनर्प्राप्त कर सकते हैं।
इस आदेश का उपयोग करके सभी उपलब्ध स्नैपशॉट की सूची प्रदर्शित की जा सकती है:
vssadmin.exe list shadows
हमारे उदाहरण में, नवीनतम स्नैपशॉट 10/6/2016 1:33:35 पूर्वाह्न को बनाया गया था और इसमें शैडो कॉपी आईडी ={6db666ac-4d42-4734-8fbb-fad64825c66c} है।
इस स्नैपशॉट को रीड ओनली मोड में इसकी आईडी द्वारा एक अलग सिस्टम ड्राइव के रूप में माउंट करें:
vshadow -el={6db666ac-4d42-4734-8fbb-fad64825c66c},Z:
अब, फ़ाइल एक्सप्लोरर या किसी अन्य फ़ाइल प्रबंधक का उपयोग करके, मूल फ़ाइलों को डिस्क Z से कॉपी करें:.
स्नैपशॉट के साथ डिस्क को अनमाउंट करने के लिए:
mountvol Z:\ /D
निष्कर्ष
बेशक, वीएसएस एन्क्रिप्शन रैंसमवेयर के खिलाफ सुरक्षा का साधन नहीं है और कंप्यूटर सुरक्षा (एंटीवायरस सॉफ्टवेयर, एसआरपी / ऐपलॉकर नीतियां, प्रतिष्ठा फिल्टर, स्मार्टस्क्रीन, आदि) के लिए एक व्यापक दृष्टिकोण को रद्द नहीं करता है। हालांकि, मेरी राय में, एन्क्रिप्टेड डेटा को पुनर्प्राप्त करने के लिए वॉल्यूम छाया प्रतिलिपि की सादगी और उपलब्धता इस तरीके का एक बड़ा फायदा है, जो उपयोगकर्ता के कंप्यूटर पर मैलवेयर के प्रवेश के मामले में उपयोगी होने की संभावना है