Protéger son serveur de fichiers contre les ransomware

Depuis quelque temps, de nombreux serveurs ont été la cible de ransomware (exemple LOCKY). Voici une méthode pour lutter efficacement contre ce type d’attaque.

 

Cette procédure est à ajouter à la liste des différentes sécurités standard (antivirus, antispam, prévention…)

Procédure

Installer le Gestionnaire de ressources du serveur de fichiers (FSRM)

Ouvrir le gestionnaire de serveur – GérerAjouter des rôles et fonctionnalités

FSRM_01

Ajouter le service de rôle : Gestionnaire de ressources du serveur de fichiers

FSRM_02

Ouvrir la console d’administration Gestionnaire de ressources du serveur de fichiers
Panneau de configuration – Outils d’administration – Gestionnaire de ressources du serveur de fichiers

FSRM_03
Clique droit sur Groupes de fichiersCréer un groupe de fichiers

FSRM_04
Indiquer un nom, puis ajouter les fichiers à inclure dans le groupe.
Si vous désirez le faire par PowerShell, voici la commande :

New-FsrmFileGroup -Name “Fichiers Crypto” –IncludePattern @(“*.aaa”, “*.crjoker”, “*.cryptotorlocker*”, “*.ecc”, “*.encrypted”, “*.exx”, “*.ezz”, “*.frtrss”, “*.hydracrypt_ID*”, “*.locky”, “*.micro”, “*.r5a”, “*.ttt”, “*.vault”, “*.vvv”, “*.xxx”, “*gmail*.crypt”, “*recover_instruction*.*”, “*restore_fi*.*”, “*want your files back.*”, “confirmation.key”, “cryptolocker.*”, “decrypt_instruct*.*”, “enc_files.txt”, “help_decrypt*.*”, “help_recover*.*”, “help_restore*.*”, “help_your_file*.*”, “how to decrypt*.*”, “how_recover*.*”, “how_to_decrypt*.*”, “how_to_recover*.*”, “howto_restore*.*”, “howtodecrypt*.*”, “install_tor*.*”, “last_chance.txt”, “message.txt”, “readme_decrypt*.*”, “readme_for_decrypt*.*”, “recovery_file.txt”, “recovery_key.txt”, “vault.hta”, “vault.key”, “vault.txt”, “your_files.url”, “recovery+*.*”, “*.cerber”, “decrypt my file*.*”, “help_file_*.*”)

A modifier suivant vos besoins

FSRM_05
Clique droit sur Modèles de filtres de fichiers Créer un modèle de filtre de fichiers

FSRM_06
Configurer le type de filtrage (actif / passif)
Indiquer les groupes de fichiers à utiliser
Indiquer la notification que vous souhaitez mettre en place (Message électronique, Journal…)
Valider en cliquant sur OK

FSRM_07
Clique droit sur Filtres de fichiersCréer un filtre de fichiers

FSRM_08
Indiquer l’arborescence sur laquelle vous souhaitez mettre en place un filtrage
Cocher Dériver les propriétés de ce modèle de filtres de fichiers et indiquer le modèle créé précédemment
Cliquer sur Créer

Le filtrage est effectif immédiatement. Dans mon exemple, je notifie uniquement dans le journal des événements. Voici le résultat :

FSRM_09

adminpasbete