Boj proti virům je jako boj s větrnými mlýny, útočníci jsou vždy o krok napřed. Neopatrní uživatelé ještě často útočníkům jejich nekalé plány usnadňují. Admin může útočníkům alespoň házet klacky pod nohy.

Klacky pod nohy samozřejmě myslím různé stupně ochrany a prevence před vpuštěním škodlivého kódu do sítě. Stále aktuální téma jsou šifrovací viry (šifrovací ransomware) a ještě asi dlouho nebude líp. Sice nedávno jeden z těchto projektů skončil a při té příležitosti autoři zveřejnili hlavní klíč pro dešifrování dat – TeslaCrypt. To je ale jen jeden projekt, od dalších desítek či stovek různých projektů, něco podobného neočekávám. Tak pojďme alespoň házet ty klacky…

Je to již nějaký ten pátek, kdy jsem sepsal Tipy pro Admina: Nebezpečný email a prevence a chtělo to malou aktualizaci. Jedním z tipů byla aplikace filtru proti zápisu určitých souborů na souborový server (File Screening Management). Funkce je dostupná ve Windows Serverech jako File Server Resources Management.

Když už se tedy stane nějaká pohroma a uživatel otevře z pošty zavirovaný email. Vir se i přes všechna další opatření aktivuje a začne konat svou nekalou práci. Může ho proti zašifrování dat na souborovém serveru v síti zastavit právě zmíněný filtr proti zápisu určitých dat. No, a protože práci s vytvořením seznamu všech známých přípon šifrovaných souborů za nás již udělal někdo jiný, stačí ho vzít a naimportovat na své servery. Aktuálně jich je v projektu na 252 kousků.

Vše najdete na webu projektu Anti-Ransomware File System Resource Manager Lists, včetně podrobného návodu.

Skript pro vytvoření a import skupiny známých typů souboru pro FSRM ve Windows Server 2012R2 a vyšší je níže. Použijte, pokud již máte FSRM nainstalovaný a víte, co děláte.

new-FsrmFileGroup -name “Anti-Ransomware File Groups” -IncludePattern @((Invoke-WebRequest -Uri “https://fsrm.experiant.ca/api/v1/get”).content | convertfrom-json | % {$_.filters})

Celý postup jak vše zprovoznit je tady: Installation Instructions for File System Resource Manager.

Tato ochrana není všemocná. Zmiňované klacky pod nohama může útočník za jistých okolností překročit nebo obejít a to pokud vir nebude soubory přejmenovávat nebo přípona souborů nebude uvedena ve filtru. Pravidelně aktualizujte a zaměřte se na další možnosti prevence ochrany drahocenných dat.