Volete evitare che un ransomware crittografi i vostri files condivisi su un server? Bloccate le estensioni che i ransomware creano.

I ransomware sono dei softwares che crittografano il contenuto dei vostri files di produttività (doc, xls, jpg, pdf, ecc.) cancellando il file originale e creandone una versione crittografata con un nome files composto dal vostro nome file seguito da un’estensione personalizzata.
Il più famoso ransomware, Cryptolocker, ad esempio, crea dei files con un estensione contenente la parola “crypt” oppure contenente un indirizzo di posta elettronica (tipicamente l’indirizzo di colui che potrebbe sbloccare i files).
Lo scopo di questo post è quello di bloccare il processo di creazione di files con dette estensioni, stoppando sul nascere l’infezione. Infatti se si riesce ad inibire il processo di creazione dei files che presentano certi tipi di estensioni, bloccheremmo in pratica l’infezione.
Il procedimento è possibile su tutti i servers Microsoft grazie allo strumento di amministrazione chiamato “Gestione risorse file server” (fsrm.msc). Qualora non trovaste questa voce negli strumenti di amministrazione bisognerà installare il ruolo “Gestione risorse file server” dal Server Manager (in 2008 il ruolo si chiama “Servizi file” mentre in 2012 il ruolo è Servizi file e archiviazione ->Servizi file e iScsi ->Gestione risorse file server).
Potete anche usare Powershell sia per verificare che il servizio sia già attivo (se il risultato è true allora il ruolo è già installato):

Import-Module ServerManager;(Get-WindowsFeature FS-Resource-Manager).Installed

che per installarlo

Import-Module ServerManager; Add-WindowsFeature FS-Resource-Manager

Ricordatevi di eseguire Powershell sempre come amministratore!

Una volta attivato il ruolo, lanciare la console dagli strumenti di amministrazione.

Selezionare Gestione screening dei file -> Gruppi di file ed aggiungere un nuovo gruppo di files di nome “Crypto” contenente le estensioni che volete bloccare:
Ad esempio: *.*@*, *.*crypt*, *.*yy*, *.frt*, *.locky, *.???.exe, *.???.cab.

Poi nella sezione Gestione screening dei file -> Modelli per lo screening dei file aggiungere un nuovo modello “Blocca ransomware” con le opzioni indicate nella figura 3

Volendo potete anche abilitare, nella sezione messaggio di posta elettronica, l’invio degli avvisi all’amministratore di sistema cosicché al primo tentativo del ransomware di crittografare un file della rete sarà lanciata un’e-mail di avviso.
Prima di abilitare tale funzione bisognerà configurare il server per l’invio. Selezionate con il pulsante destro Gestione risorse file server e scegliete Configura opzioni. Impostate le opzioni come findicato nella figura 4.

A questo punto bisognerà scegliere le cartelle da monitorare sul server, soprattutto quelle condivise o quelle delle applicazioni LOB.
Selezionare Gestione Screening dei file ->Screening dei file e con il pulsante destro scegliere Crea screening dei file.
Selezionare le opzioni come indicato nella figura 5.

La soluzione non è definitiva, nel senso che bisogna modificare le policy ogniqualvolta nasce un nuovo ransomware che crea una nuova estensione, però l’aggiunta delle nuove estensioni è un processo semplice e rapido.
Vi invitiamo a segnalarci le estensioni che riscontrate ed a condividerle con i nostri seguaci.