Como se proteger de ransomware utilizando FSRM

Um dos maiores medos dos profissionais de TI atualmente são os “Ransomwares”, não é aquela banda americana, Hanson, que ficou conhecida pela música “MMMBop”, mas sim um tipo de malware que restringe o acesso ao sistema infectado e tenta cobrar um valor de “resgate” para que o acesso possa ser restabelecido. Geralmente esse tipo de malware compacta os arquivos do computador com uma criptografia que não é possível reverter. Ou você paga o resgate e mesmo assim pode não conseguir resgatar seus dados, ou então você desinfecta a sua máquina, restaura o seu backup e volta a rotina  quase normalmente.

No Windows Server é possível ativar o File Server Resource Manager (FSRM), que em português seria “Gerenciador de Recursos do Servidor de Arquivos”. Nele é possível realizar uma melhor gerência dos arquivos do servidor, como cota, mover arquivos antigos, triagem, etc. Pra tentar se proteger dos “Ransomware” utilizaremos a triagem de arquivos.

Se você não tiver instalado o FSRM, acesse o gerenciador do servidor -> Gerenciar -> Adicionar Funções e Recursos, e habilite a opção conforme figura abaixo:

Crie um pasta em C:\dados\scripts ou em lugar de sua preferência e faça o download do script em: https://github.com/wanderleihuttel/protect-ransomware

Precisamos criar um novo grupo de arquivo, com as extensões conhecidas dos ransomwares, para isso acesse o powershell como administrador e digite o seguinte comando:

# Para criar o grupo de arquivos (executar somente na primeira vez)
new-FsrmFileGroup -name "Arquivos Ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

# Para atualizar o grupo de arquivos
Set-FsrmFileGroup -name "Arquivos Ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

Com o grupo de arquivos criado, podemos acessar o FSRM, para isso no menu iniciar procure por fsrm.msc.

1) Em triagem de arquivos, clique em “criar triagem de arquivos”. Vai abrir uma tela conforme a tela abaixo, selecione o compartilhamento que deseja monitorar e clique em “propriedades personalizadas”



2) Selecione o grupo de arquivos “Arquivos Ransomware”

3) Marque a opção “Enviar aviso para log de eventos”

4) Marque a opção “Executar este comando ou script” e coloque o caminho do powershell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe



Em argumentos do comando coloque o comando abaixo:

-ExecutionPolicy Unrestricted -NoLogo -Command C:\dados\scripts\email_ransomware.ps1 '[Source Io Owner]' '[Source File Path]' '[File Screen Path]' '[Server]' '[Violated File Group]'

Em executar comando como, selecione a opção “Sistema Local”

5) Configurar opções

6) Alterar o tempo limite de notificação para 2 minutos

Para efetuar um teste pasta tentar salvar um arquivo com uma extensão “.cerber” por exemplo e tentar copiar para o diretório compartilhado onde está aplicada a triagem.
Você irá receber um email e uma mensagem no telegram e também seu acesso será bloqueado em todos os compartilhamentos de rede do servidor.

Para desbloquear utilize o comando abaixo no poweshell, substituindo o “UserName” pelo login do usuário bloqueado.

Get-SmbShare -Special $false | ForEach-Object { Unblock-SmbShareAccess -Name $_.Name -AccountName 'UserName' -Force }

Não é garantido que a triagem e o script vão proteger efetivamente contra ransomware, mas é uma forma de bloquear o acesso do usuário que por ventura tentar salvar um arquivo no servidor com uma extensão que geralmente pertence aos ransomwares.
Lembre-se de fazer backup constantemente, manter seu sistema operacional e antivírus sempre atualizados, e nunca clique em arquivos ou links suspeitos.

Fontes consultadas
http://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
https://fsrm.experiant.ca/

Facebooktwittergoogle_pluslinkedinFacebooktwittergoogle_pluslinkedinby feather

Interface com dashboards e gráficos o para Bacula

Dando uma fuçada pela internet encontrei uma interface web para o Bacula com dashboards e gráficos, bem interessante. Foi desenvolvida por Evaldo Prestes de Oliveira, mas parece que o projeto não está muito ativo, pois as últimas alterações são de setembro/2014, mas vale a pena dar uma espiada.
Endereço do projeto: https://github.com/evaldoprestes/baculastatus

Continue lendo

Facebooktwittergoogle_pluslinkedinFacebooktwittergoogle_pluslinkedinby feather

Script para restaurar várias versões de um arquivo de uma única vez

Há um tempo atrás precisei restaurar um determinado arquivo, porém não sabia exatamente em qual Job estava a versão que eu precisava. Então tive que restaurar uma dezena de Jobs manualmente até achar o arquivo que eu precisava. Para facilitar esse tipo de restauração, desenvolvi um script que lista os JobId’s que contém este arquivo e o usuário pode informar quais os JobId’s que ele deseja restaurar e o bacula restaura todos os jobs em um diretório específico, separando em subdiretórios com o número do JobId e data  do backup.

Continue lendo

Facebooktwittergoogle_pluslinkedinFacebooktwittergoogle_pluslinkedinby feather

Configurando um autochanger virtual com múltiplos discos

Atualizado: 25/10/2016

Uma das dificuldades encontradas na implantação do Bacula quando se utiliza múltiplos discos, é o fato de ser necessário criar Pools específicas para cada disco e fazer um balanceamento manual dos Jobs de Backup para essas Pools. Isso é um trabalho meio cansativo e muitas vezes os discos são mal utilizados.

Apesar do Bacula suportar nativamente a configuração de autochangers virtuais, existe uma limitação, pois o ele requer a configuração de um único “Media Type” na configuração do Storage e que o “Archive Device” esteja configurado no mesmo diretório.

Buscando uma solução para este problema, encontrei o “vchanger“, que pode ser considerado um emulador de fitas (“tape library“) baseado em discos para utilizar com o Bacula. A última versão do vchanger é a 1.0.1 e pode ser encontrada em:
https://sourceforge.net/projects/vchanger/ ou então em
https://github.com/wanderleihuttel/vchanger. (A versão do git possui uma alteração no vchanger onde ele altera o arquivo que cria os volumes, podendo utilizar o próprio vchanger para a criação de volumes mais “amigáveis”, ou ordenados corretamente no bconsole).

Continue lendo

Facebooktwittergoogle_pluslinkedinFacebooktwittergoogle_pluslinkedinby feather