FSRM : Protéger son serveur de fichiers des ransomwares jeudi 20 avril 2017 16:33 • I. Présentation • II. Installation du gestionnaire de ressources du serveur de fichiers • III. Configurer le SMTP pour recevoir les notifications • IV. Création d’un groupe d’extensions de fichiers • V. Créer un modèle de filtre de fichiers • VI. Créer un filtre de fichiers • VII. Test de la configuration • VIII. Pour aller plus loin I. Présentation Les données qu’elles soient personnelles ou professionnelles ont une valeur certaine, et ça il y a des personnes malintentionnées qu’ils l’ont bien compris et qui veulent en tirer profit avec des malwares, ou plus particulièrement avec les ransomwares qui sont la grande tendance depuis quelque temps. Pour rappel, un ransomware, en français rançongiciel, est un logiciel qui va chiffrer vos données et vous demander de l’argent pour pouvoir récupérer les données, sous peine de les perdre. Pour se protéger face à cette menace, que l’on peut représenter par Cryptolocker ou plus récemment Locky, il y a différentes couches de sécurité à mettre en place. Tout d’abord, ça passe par une protection au niveau des e-mails avec un filtre anti-spam, du filtrage web pour éviter que les utilisateurs aillent sur des sites où ils n’ont rien à faire, ou encore protéger votre serveur de fichiers, c’est d’ailleurs ce dernier point qui nous intéresse. Dans le cadre de ce tutoriel, il sera question de protéger un serveur de fichiers sous Windows Server 2012 R2 ou sur Windows Server 2008 R2, pour cela on s’appuie sur le File Server Resource Manager (FSRM) , en français « Gestionnaire de ressources du serveur de fichiers ». Il intègre une fonctionnalité qui permet de filtrer les fichiers, l’objectif sera alors de bloquer certaines extensions (et fichiers) propres au comportement d’un ransomware, et d’en avertir l’administrateur par e-mail et/ou par une entrée dans l’observateur d’événements. Par exemple, un ransomware qui chiffre vos fichiers avec l’extension « .locky » donc on va bloquer cette extension. II. Installation du gestionnaire de ressources du serveur de fichiers Tout d’abord, nous allons installer la fonctionnalité FSRM et la console associée qui permet de la gérer. Pour cela, on va passer par PowerShell, déjà on peut vérifier si la fonctionnalité est déjà installée ou pas : Pour Windows 2012 R2 Get-WindowsFeature ou Get-WindowsFeature -Name FS-Resource-Manager Comme la fonctionnalité n’est pas installée (état « Available »), on va l’installer et installer sa console de gestion : Executer en premier cette commande pour pouvoir exécuter un script powershell: Set-ExecutionPolicy -ExecutionPolicy Unrestricted Ensuite on peut commencer : Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools Voilà, la fonctionnalité est installée vous pouvez lancer la console « Gestionnaire de ressources du serveur de fichiers » depuis les outils d’administration. Pour Windows 2008 R2 Procédures Page 1 Import-Module Servermanager Add-WindowsFeature FS-FileServer,FS-Resource-Manager III. Configurer le SMTP pour recevoir les notifications Si vous souhaitez recevoir des notifications par e-mail, il faut préciser un serveur SMTP au sein des options de la console FSRM. Pour cela, effectuez un clic droit sur « Gestionnaire de ressources du serveur de fichiers » et cliquez sur « Configurer les options ». Procédures Page 2 Dans l’onglet « Notifications par courrier électronique » remplissez les champs « Serveur SMTP » et « Administrateurs destinataires par défaut ». Validez. Note : Il n’est pas proposé de rentrer des credentials pour s’authentifier auprès du serveur SMTP, ce qui est plutôt dommage, si vous avez besoin d’une solution de contournement vous pouvez vous appuyer sur un serveur relai SMTP. Configuration limites de notifications Procédures Page 3 IV. Création d’un groupe d’extensions de fichiers On va continuer en créant un groupe de fichiers qui va regrouper un ensemble d’extensions liées aux ransomwares dans notre cas. Pour cela, sous « Gestion du filtrage de fichiers », effectuez un clic droit sur « Groupes de fichiers » puis « Créer un groupe de fichiers ». (il y a une commande PowerShell en fin de paragraphe pour le faire rapidement) Nommez ce groupe de fichiers comme vous le souhaitez, « Fichiers ransomwares » ou « Fichiers Crypto » par exemple. Ensuite, il va falloir inclure les extensions, il y en a une bonne quantité et le processus d’ajout en mode graphique est assez long (voir juste après la liste pour le faire en PowerShell). Procédures Page 4 Voici par exemple une liste non exhaustive des extensions et des fichiers de note qui accompagne généralement ces ransomwares : _Locky_recover_instructions.txt DECRYPT_INSTRUCTIONS.TXT DECRYPT_INSTRUCTIONS.HTML DECRYPT_INSTRUCTION.TXT DECRYPT_INSTRUCTION.HTML HELP_DECRYPT.TXT HELP_DECRYPT.HTML DecryptAllFiles.txt enc_files.txt HowDecrypt.txt How_Decrypt.txt How_Decrypt.html HELP_TO_DECRYPT_YOUR_FILES.txt HELP_RESTORE_FILES.txt HELP_TO_SAVE_FILES.txt restore_files*.txt restore_files.txt RECOVERY_KEY.TXT how to decrypt aes files.lnk HELP_DECRYPT.PNG HELP_DECRYPT.lnk DecryptAllFiles*.txt Decrypt.exe ATTENTION!!!.txt AllFilesAreLocked*.bmp MESSAGE.txt *.locky *.ezz *.ecc *.exx *.7z.encrypted *.ctbl *.encrypted *.aaa *.xtbl *.abc *.JUST *.EnCiPhErEd *.cryptolocker *.micro *.vvv Pour créer ce groupe de fichiers directement en PowerShell et gagner du temps dans la création, voici la commande correspondante : New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern Procédures Page 5 New-FsrmFileGroup -Name "Fichiers Crypto" –IncludePattern @("*.k","*.encoderpass","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypte d","*.locked","*.crypto","_crypt","*.crinf","*.r5a","*.xrtn","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RD M","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3 ","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","*.777","*.7ev3n","*.7h9r","*.7zipper","*.8lock8","*.ACCDFISA v2.0","*.AdamLocker","*.AES_KEY_GEN_ASSIST","*.AES-NI","*.Al-Namrood","*.Al-Namrood 2.0","*.Alcatraz","*.Alfa","*.Alma Locker","*.Alpha","*.AMBA","*.AnDROid","*.AngryDuck","*.Anubis","*.Apocalypse","*.ApocalypseVM","*.ASN1 Encoder","*.AutoLocky","*.AxCrypter","*.BadBlock","*.BadEncript","*.BandarChor","*.BankAccountSummary","*.Bart","*.Bart v2.0","*.BitCrypt","*.BitCrypt 2.0","*.BitCryptor","*.BitStak","*.Black Feather","*.Black Shades","*.Blocatto","*.Booyah","*.BrainCrypt","*.Brazilian*","*.BTCamant","*.Bucbi","*.BuyUnlockCode","*.Cancer","*.Cerber","*.Cerber *","*.CerberTear","*.Chimera","*.CHIP","*.CockBlocker","*.Coin*","*.CoinVault","*.Comrade*","*.Conficker","*.Coverton","*.CradleCore", "*.Cripton","*.CrptXXX","*.Cry9","*.Cryakl","*.CryFile","*.CryLocker","*.CrypMic","*.CrypMic*","*.Crypren","*.Crypt0","*.Crypt0L0cker","*. Crypt38","*.CryptConsole","*.CryptFuck","*.CryptInfinite","*.CryptoDefense","*.CryptoDevil","*.CryptoFinancial","*.CryptoFortress","*.Cry ptoHasYou","*.CryptoHitman","*.CryptoJacky","*.CryptoJoker","*.CryptoLocker3","*.CryptoLockerEU","*.CryptoLuck","*.CryptoMix","*.Cry ptoMix*","*.CryptON","*.Crypton","*.CryptorBit","*.CryptoRoger","*.CryptoShield","*.CryptoShocker","*.CryptoTorLocker","*.CryptoWall* ","*.CryptoWire","*.CryptXXX","*.CryptXXX*","*.CryPy","*.CrySiS","*.CTB-Faker","*.CTB- Locker","*.Damage","*.Deadly","*.DEDCryptor","*.DeriaLock","*.Dharma*","*.onion","*.wallet","*.Digisom","*.DirtyDecrypt","*.DMA*","* .Domino","*.Done","*.DoNotChange","*.DXXD","*.DynA- Crypt","*.ECLR*","*.EdgeLocker","*.EduCrypt","*.EncrypTile","*.EncryptoJJS","*.Encryptor*","*.Enigma","*.Enjey*","*.EnkripsiPC","*.Erebu s","*.Evil","*.Exotic","*.Fabiansomware","*.Fadesoft","*.Fantom","*.FenixLocker","*.FindZip","*.FireCrypt","*.Flatcher3","*.FLKR","*.Flyper ","*.FS0ciety","*.FuckSociety","*.FunFact","*.GC47","*.GhostCrypt","*.Globe","*.Broken","*.Globe3","*.GlobeImposter","*.GOG","*.Golde nEye","*.Gomasom","*.GPCode","*.GX40","*.HadesLocker","*.HappyDayzz","*.Heimdall","*.Help50","*.HelpDCFile","*.Herbst","*.Hermes *","*.HiddenTear","*.HollyCrypt","*.HolyCrypt*","*.Hucky","*.HydraCrypt","*.IFN643","*.iRansom","*.Ishtar","*.Jack*","*.Jager","*.JapanL ocker","*.Jigsaw","*.Jigsaw*","*.JobCrypter","*.JuicyLemon","*.Kaenlupuf","*.Karma","*.Karmen","*.Kasiski","*.KawaiiLocker","*.KeRanger ","*.KeyBTC","*.KEYHolder","*.KillerLocker","*.KimcilWare","*.Kirk","*.Kolobo","*.Kostya","*.Kozy*","*.Kraken","*.KratosCrypt","*.Krider", "*.Kriptovor","*.KryptoLocker","*.L33TAF*","*.LambdaLocker","*.LeChiffre","*.LLTP","*.LMAOxUS","*.Lock2017","*.Lock93","*.Locked- In","*.LockLock","*.Locky","*.Lortok","*.LoveServer","*.LowLevel04","*.MafiaWare","*.Magic","*.Maktub*","*.Marlboro","*.MarsJoke","*. Matrix","*.Meteoritan","*.MirCop","*.MireWare","*.Mischa","*.MNS*","*.Mobef","*.MOTD","*.MRCR1","*.n1n1n1","*.NanoLocker","*.N Crypt","*.NegozI","*.Nemucod","*.Nemucod-7z","*.Netix","*.Nhtnwcuf","*.NMoreira","*.NotAHero","*.Nuke","*.NullByte","*.NxRansomw are","*.ODCODC","*.One","*.OpenToYou","*.OzozaLocker","*.PadCrypt","*.PayDay","*.PaySafeGen","*.PClock*","*.Philadelphia","*.Pickle s","*.PopCornTime","*.Potato","*.PowerLocky","*.PowerShell*","*.PowerWare","*.Pr0tector","*.PrincessLocker*","*.Project34","*.Protect ed*","*.PyL33T","*.R980","*.RAA- SEP","*.Radamant*","*.RanRan","*.RansomCuck","*.RansomPlus","*.RarVault","*.Razy","*.REKTLocker","*.RemindMe","*.RenLocker","*.R ensenWare","*.Roga","*.Rokku","*.RoshaLock","*.RotorCrypt","*.Roza","*.Russian*","*.SADStory","*.Sage*","*.Salsa","*.SamSam","*.Sanc