eine etwas andere Art die Crytolocker Viren einzudämmen…und zwar mittels dem seit Server 2003R2 inkludiertem „File Server Ressource Manager“
Die Idee: Man erstellt eine Filegroup die die Erstellung von verdächtigen Dateiendungen blockiert bzw. zumindest meldet. Da die Endungen je nach Ausprägung der Cryptolocker Variante ändern, ist man zwar immer einen Schritt hinten nach, aber es ist zumindest eine zusätzliche Möglichkeit die nichts kostet.
Da die meisten Fileserver die ich betreue mittlerweile Windows Server 2012R2 und neuer sind, habe ich ein Script erstellt welches eine Liste von möglichen Dateiendungen sperrt und eine Mailbenachrichtigung aktiviert.
Eine meiner Meinung nach gute Übersicht der verwendeten Dateitypen findet man hier: https://www.bleib-virenfrei.de/ransomware/
Ich bin kein Programmierer, daher gibt es sicherlich Verbesserungsmöglichkeiten an den Skript, aber es funktioniert. Natürlich ist es trotzdem auf eigenes Risiko und nach eigener Analyse zu verwenden!
Vor allem ist zu beachten welche Filetypen man sperrt!
Die Parameter sind in den ersten Zeilen des Scripts auf die jeweilige Umgebung anzupassen.
Im Script passiert dann folgendes:
Auf allen Servern in der Liste wird eine Filegroup „Virus“ erstellt, welche die Attachments unter „fgmembers“ beinhaltet. Weiters werden die Maileinstellungen (smtp Server usw.) am Fileserver eingetragen und der Mailbetreff und Text festgelegt.
Anschließend wird als Absender „FSRM@server-fqdn“ festgelegt und die Regel so eingestellt dass der Fileblock auf allen Disken mit Ausnahme der C: Disk angelegt wird. Da es leider kein CMDLet fürs ändern gibt, musste ich mir so behelfen dass die Werte, sofern sie schon gesetzt sind, gelöscht und anschließend neu geschrieben werden.
Hier noch das Script:
Fileserver_Resourcemanager_Block_Attachments