Come evitare che un ransomware crittografi i files condivisi su un server

Stop ransomware Volete evitare che un ransomware crittografi i vostri files condivisi su un server?

Bloccate le estensioni che i ransomware creano.

I ransomware sono dei softwares che crittografano il contenuto dei vostri files di produttività (doc, xls, jpg, pdf, ecc.) cancellando il file originale e creandone una versione crittografata con un nome files composto dal vostro nome file seguito da un’estensione personalizzata.
Il più famoso ransomware, Cryptolocker, ad esempio, crea dei files con un estensione contenente la parola “crypt” oppure contenente un indirizzo di posta elettronica (tipicamente l’indirizzo di colui che potrebbe sbloccare i files).
Lo scopo di questo post è quello di bloccare il processo di creazione di files con dette estensioni, stoppando sul nascere l’infezione. Infatti se si riesce ad inibire il processo di creazione dei files che presentano certi tipi di estensioni, bloccheremmo in pratica l’infezione.
Il procedimento è possibile su tutti i servers Microsoft grazie allo strumento di amministrazione chiamato “Gestione risorse file server” (fsrm.msc). Qualora non trovaste questa voce negli strumenti di amministrazione bisognerà installare il ruolo “Gestione risorse file server” dal Server Manager (in 2008 il ruolo si chiama “Servizi file” mentre in 2012 il ruolo è Servizi file e archiviazione ->Servizi file e iScsi ->Gestione risorse file server).
Potete anche usare Powershell sia per verificare che il servizio sia già attivo (se il risultato è true allora il ruolo è già installato):

Import-Module ServerManager;(Get-WindowsFeature FS-Resource-Manager).Installed

che per installarlo

Import-Module ServerManager; Add-WindowsFeature FS-Resource-Manager

Ricordatevi di eseguire Powershell sempre come amministratore!

Una volta attivato il ruolo, lanciare la console dagli strumenti di amministrazione.

Gestione risorse file server

figura 1

Selezionare Gestione screening dei file -> Gruppi di file ed aggiungere un nuovo gruppo di files di nome “Crypto” contenente le estensioni che volete bloccare:
Ad esempio: *.*@*, *.*crypt*, *.*yy*, *.frt*, *.locky, *.???.exe, *.???.cab.

Proprietà gruppo di file

figura 2

Poi nella sezione Gestione screening dei file -> Modelli per lo screening dei file aggiungere un nuovo modello “Blocca ransomware” con le opzioni indicate nella figura 3

modello per lo screening

figura 3

Volendo potete anche abilitare, nella sezione messaggio di posta elettronica, l’invio degli avvisi all’amministratore di sistema cosicché al primo tentativo del ransomware di crittografare un file della rete sarà lanciata un’e-mail di avviso.
Prima di abilitare tale funzione bisognerà configurare il server per l’invio. Selezionate con il pulsante destro Gestione risorse file server e scegliete Configura opzioni. Impostate le opzioni come findicato nella figura 4.

mailserverfsrm

figura 4

A questo punto bisognerà scegliere le cartelle da monitorare sul server, soprattutto quelle condivise o quelle delle applicazioni LOB.
Selezionare Gestione Screening dei file ->Screening dei file e con il pulsante destro scegliere Crea screening dei file.
Selezionare le opzioni come indicato nella figura 5.

Crea screening dei file

figura 5

La soluzione non è definitiva, nel senso che bisogna modificare le policy ogniqualvolta nasce un nuovo ransomware che crea una nuova estensione, però l’aggiunta delle nuove estensioni è un processo semplice e rapido.
Vi invitiamo a segnalarci le estensioni che riscontrate ed a condividerle con i nostri seguaci.

Annunci

Soluzione per CryptoLocker e CryptoWall con Trend Micro

Stanchi degli utenti Exchange infettati da ransomware?

Dai un taglio a CryptoLocker e CriptoWall!

 

Se siete tra i fortunati possessori di un antivirus di Trend Micro a protezione del vostro Microsoft Exchange Server (sia esso il prodotto Scan Mail for Microsoft Exchange che Worry Free Business Security Advanced) allora avete la soluzione per bloccare i files con estensione .exe presenti negli allegati con estensione .zip.

Questi ransomware, infatti, infettano il computer del malcapitato crittografando i files più utili (files di Office, jpg, PDF, ecc.) quando si apre un allegato contenente il file eseguibile responsabile dell’infezione.

Il suddetto file è sempre abilmente artefatto nel nome in modo da trarre in inganno l’utente poco esperto; infatti il file viene spesso rinominato con un estensione .pdf.exe cosicché l’utente che non ha le estensioni dei file visibili (configurazione di default sui PC Microsoft) vedrà solo l’estensione .pdf.

Trend Micro permette nel suo programma di scansione delle e-mail di bloccare le estensioni .exe (ma anche le classi Java .class, ed altri files potenzialmente pericolosi), anche se i files sono inseriti in un file compresso con estensione .zip.

Il sistema non è in grado si analizzare però files compressi in altri formati (tipo .rar). Si possono però filtrare tutti gli altri tipi di files compressi consentendo solo l’uso del formato .zip.

Qui di seguito vi mostro la schermata della configurazione nel programma Worry Free Business Security Advanced ed il relativo link al sito di Trend Micro per la spiegazione.

Configurazione blocco allegati

Configurazione blocco allegati

Link al sito di Trend Micro

Io comunque consiglio di abilitare almeno questi:

 Applicazione ed eseguibile
 |
 +---Formato file eseguibili e collegamenti (.elf)
 |
 +---Eseguibile (.exe; .dll; .vxd)
 |
 +---Applet JAVA (.class)
 |
 +---Collegamento Windows NT/95 (.lnk)
 |
 +---Windows Installer Package (.msi)
File compressi
 |
 +---Microsoft Cabinet (.cab)

Come per tutti i miei utenti, consiglio anche a voi di contattare i vostri sistemisti sempre PRIMA di aprire gli allegati dubbi e di configurare i PC per mostrare le estensioni dei files. Per questi malware soluzioni postume al momento non esistono!

P.S.

Se siete stati già infettati spegnete il computer immediatamente. Più tempo resta acceso e più si infetta!