Script per la protezione dei server MS windows contro ransomware
Con un server Microsoft dalla versione 2008 è possibile usare il servizio FSRM e la funzionalità di screening per proteggere i file contro i client infettati da ransomware. Questa strategia è descritta in talk e in articoli, si veda ad esempio https://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
Ma gli informatici sono pigri e soprattutto odiano i lavori ripetitivi, per questo ecco lo script che fa tutto il lavoro di installazione e configurazione. Salvatelo su un server ed eseguitelo.
http://www.zen.pn.it/DeployCryptoBlocker.ps1
Lo script:
- Controlla se ci sono condivisioni di rete
- Installa FSRM se non c’è
- Crea gli script batch / PowerShell utilizzati da FSRM
- Crea un gruppo di file in FSRM contenente le estensioni dannose e nomi di file (scaricati in automatico da https://fsrm.experiant.ca/api/v1/get)
- Crea uno screening dei file in FSRM utilizzando questo gruppo di file con una notifica di evento, la notifica con una email all’amministratore
- Crea Screening dei file utilizzando questo modello per ciascuna unità contenente le condivisioni di rete
Come funziona
Se l’utente scrive un file dannoso in una condivisione di rete, FSRM eseguirà lo script che aggiungerà un permesso negato per l’utente.
Con questo script un ransomware al massimo finisce per cifrare una directory prima che l’utente venga bloccato.
NOTA: Questo script non considera le varianti che utilizzano le estensioni dei file randomizzati.
Lo script invia anche una email di alert. Ricordarsi di configurare correttamente il server SMTP (in Strumenti di amministrazione > Gestione risorse file server > Configura opzioni
Nota:
In alcune installazioni è possibile che lo script non venga eseguito a causa delle restrizioni sulla firma digitale.
Se vi fidate del mio script potete disabilitare l’esecuzione del controllo digitando nella finestra power shell il comando:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
Fonti:
ARTICOLI