Depuis quelque temps, de nombreux serveurs ont été la cible de ransomware (exemple LOCKY). Voici une méthode pour lutter efficacement contre ce type d'attaque.
Cette procédure est à ajouter à la liste des différentes sécurités standard (antivirus, antispam, prévention...)
Procédure
1) Ajouter le Gestionnaire de ressources du serveur de fichiers.
Ouvrir le gestionnaire de serveur - Gérer - Ajouter des rôles et fonctionnalités
2) Ajouter le service de rôle : Gestionnaire de ressources du serveur de fichiers
3) Ouvrir la console d'administration Gestionnaire de ressources du serveur de fichiers
Panneau de configuration - Outils d'administration - Gestionnaire de ressources du serveur de fichiers
4) Clique droit sur Groupes de fichiers - Créer un groupe de fichiers
5) Indiquer un nom, puis ajouter les fichiers à inclure dans le groupe.
Si vous désirez le faire par PowerShell, voici la commande :
> New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern @("*.aaa", "*.crjoker", "*.cryptotorlocker*", "*.ecc", "*.encrypted", "*.exx", "*.ezz", "*.frtrss", "*.hydracrypt_ID*", "*.locky", "*.micro", "*.r5a", "*.ttt", "*.vault", "*.vvv", "*.xxx", "*gmail*.crypt", "*recover_instruction*.*", "*restore_fi*.*", "*want your files back.*", "confirmation.key", "cryptolocker.*", "decrypt_instruct*.*", "enc_files.txt", "help_decrypt*.*", "help_recover*.*", "help_restore*.*", "help_your_file*.*", "how to decrypt*.*", "how_recover*.*", "how_to_decrypt*.*", "how_to_recover*.*", "howto_restore*.*", "howtodecrypt*.*", "install_tor*.*", "last_chance.txt", "message.txt", "readme_decrypt*.*", "readme_for_decrypt*.*", "recovery_file.txt", "recovery_key.txt", "vault.hta", "vault.key", "vault.txt", "your_files.url", "recovery+*.*", "*.cerber", "decrypt my file*.*", "help_file_*.*", "*.crypto")
A modifier suivant vos besoins
6) Clique droit sur Modèles de filtres de fichiers - Créer un modèle de filtre de fichiers
7) Configurer le type de filtrage (actif / passif)
Indiquer les groupes de fichiers à utiliser
Indiquer la notification que vous souhaitez mettre en place (Message électronique, Journal...)
Valider en cliquant sur OK
8) Clique droit sur Filtres de fichiers - Créer un filtre de fichiers
9) Indiquer l'arborescence sur laquelle vous souhaitez mettre en place un filtrage
Cocher Dériver les propriétés de ce modèle de filtres de fichiers et indiquer le modèle créé précédemment
Cliquer sur Créer
Le filtrage est effectif immédiatement. Dans mon exemple, je notifie uniquement dans le journal des événements. Voici le résultat :
Merci beaucoup pour ce tuto ! Et pour ceux qui sont encore sous Windows Server 2008 R2, voici la commande PowerShell qui fonctionne :
filescrn filegroup add /filegroup:"Log Files" /members:"*.aaa|*.crjoker|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.hydracrypt_ID*|*.locky|*.micro|*.r5a|*.ttt|*.vault|*.vvv|*.xxx|*gmail*.crypt|*recover_instruction*.*|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_recover*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_recover*.*|how_to_decrypt*.*|how_to_recover*.*|howto_restore*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_decrypt*.*|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|your_files.url|recovery+*.*|*.cerber|decrypt my file*.*|help_file_*.*|*.crypto"
bonjour,
a l'inverse et plus facile a configurer sur un serveur bureautique, c'est d'exclure tout (*.*) et de n'inclure uniquement les extensions de fichiers souhaités.
et dans le coup c'est imparable
merci pour le tuto
Bonjour,
Lorsque j'applique cette procédure le filtre devient passif pour le C:
pouvez vous me dire d'ou cela provient.
je vous remercie par avances
Vérifier la configuration de votre modèle de filtre. Vous pouvez aussi définir manuellement les paramètres du filtre en cochant Définir les propriétés de filtre de fichiers personnalisées.
Merci pour la procédure
Une question demeure tout de même: on interdit la création de fichiers dont l’extension est, par exemple ,.locky. Le fichier crypter.locky ne peut donc pas être créée, mais que devient l’original du fichier, est-il toujours à sa place et intact ou est-il supprimé ?
Hélas... Je n'ai pas la réponse. Il est évident que cette procédure ne pourra pas éviter une catastrophe à 100%. L'avantage, c'est qu'il y aura des événements dans les journaux ou avertissements par mail (suivant votre configuration) qui pourra permettre une bien meilleur réactivité de l'administrateur.
Bonjour,
Merci pour cette procédure c'est un bon moyen d’éviter une catastrophe.