Protéger son serveur de fichiers contre les ransomware

Depuis quelque temps, de nombreux serveurs ont été la cible de ransomware (exemple LOCKY). Voici une méthode pour lutter efficacement contre ce type d'attaque.

Cette procédure est à ajouter à la liste des différentes sécurités standard (antivirus, antispam, prévention...)

Procédure

1) Ajouter le Gestionnaire de ressources du serveur de fichiers.
Ouvrir le gestionnaire de serveur - Gérer - Ajouter des rôles et fonctionnalités

FSRM_01

2) Ajouter le service de rôle : Gestionnaire de ressources du serveur de fichiers

FSRM_02

3) Ouvrir la console d'administration Gestionnaire de ressources du serveur de fichiers
Panneau de configuration - Outils d'administration - Gestionnaire de ressources du serveur de fichiers

4) Clique droit sur Groupes de fichiers - Créer un groupe de fichiers

FSRM_03

5) Indiquer un nom, puis ajouter les fichiers à inclure dans le groupe.

FSRM_04

Si vous désirez le faire par PowerShell, voici la commande :

New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern @("*.aaa", "*.crjoker", "*.cryptotorlocker*", "*.ecc", "*.encrypted", "*.exx", "*.ezz", "*.frtrss", "*.hydracrypt_ID*", "*.locky", "*.micro", "*.r5a", "*.ttt", "*.vault", "*.vvv", "*.xxx", "*gmail*.crypt", "*recover_instruction*.*", "*restore_fi*.*", "*want your files back.*", "confirmation.key", "cryptolocker.*", "decrypt_instruct*.*", "enc_files.txt", "help_decrypt*.*", "help_recover*.*", "help_restore*.*", "help_your_file*.*", "how to decrypt*.*", "how_recover*.*", "how_to_decrypt*.*", "how_to_recover*.*", "howto_restore*.*", "howtodecrypt*.*", "install_tor*.*", "last_chance.txt", "message.txt", "readme_decrypt*.*", "readme_for_decrypt*.*", "recovery_file.txt", "recovery_key.txt", "vault.hta", "vault.key", "vault.txt", "your_files.url", "recovery+*.*", "*.cerber", "decrypt my file*.*", "help_file_*.*", "*.crypto")

A modifier suivant vos besoins

6) Clique droit sur Modèles de filtres de fichiers - Créer un modèle de filtre de fichiers

FSRM_05

7) Configurer le type de filtrage (actif / passif)
Indiquer les groupes de fichiers à utiliser
Indiquer la notification que vous souhaitez mettre en place (Message électronique, Journal...)
Valider en cliquant sur OK

FSRM_06

8) Clique droit sur Filtres de fichiers - Créer un filtre de fichiers

FSRM_07

9) Indiquer l'arborescence sur laquelle vous souhaitez mettre en place un filtrage
Cocher Dériver les propriétés de ce modèle de filtres de fichiers et indiquer le modèle créé précédemment
Cliquer sur Créer

FSRM_08

Le filtrage est effectif immédiatement. Dans mon exemple, je notifie uniquement dans le journal des événements. Voici le résultat :

FSRM_09

 

7 réponses à “Protéger son serveur de fichiers contre les ransomware

  1. Merci beaucoup pour ce tuto ! Et pour ceux qui sont encore sous Windows Server 2008 R2, voici la commande PowerShell qui fonctionne :

    filescrn filegroup add /filegroup:"Log Files" /members:"*.aaa|*.crjoker|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.hydracrypt_ID*|*.locky|*.micro|*.r5a|*.ttt|*.vault|*.vvv|*.xxx|*gmail*.crypt|*recover_instruction*.*|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_recover*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_recover*.*|how_to_decrypt*.*|how_to_recover*.*|howto_restore*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_decrypt*.*|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|your_files.url|recovery+*.*|*.cerber|decrypt my file*.*|help_file_*.*|*.crypto"

  2. bonjour,

    a l'inverse et plus facile a configurer sur un serveur bureautique, c'est d'exclure tout (*.*) et de n'inclure uniquement les extensions de fichiers souhaités.
    et dans le coup c'est imparable
    merci pour le tuto

  3. Bonjour,
    Lorsque j'applique cette procédure le filtre devient passif pour le C:
    pouvez vous me dire d'ou cela provient.
    je vous remercie par avances

  4. Merci pour la procédure
    Une question demeure tout de même: on interdit la création de fichiers dont l’extension est, par exemple ,.locky. Le fichier crypter.locky ne peut donc pas être créée, mais que devient l’original du fichier, est-il toujours à sa place et intact ou est-il supprimé ?

    1. Hélas... Je n'ai pas la réponse. Il est évident que cette procédure ne pourra pas éviter une catastrophe à 100%. L'avantage, c'est qu'il y aura des événements dans les journaux ou avertissements par mail (suivant votre configuration) qui pourra permettre une bien meilleur réactivité de l'administrateur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *