Um dos maiores medos dos profissionais de TI atualmente são os “Ransomwares”, não é aquela banda americana, Hanson, que ficou conhecida pela música “MMMBop”, mas sim um tipo de malware que restringe o acesso ao sistema infectado e tenta cobrar um valor de “resgate” para que o acesso possa ser restabelecido. Geralmente esse tipo de malware compacta os arquivos do computador com uma criptografia que não é possível reverter. Ou você paga o resgate e mesmo assim pode não conseguir resgatar seus dados, ou então você desinfecta a sua máquina, restaura o seu backup e volta a rotina  quase normalmente.

No Windows Server é possível ativar o File Server Resource Manager (FSRM), que em português seria “Gerenciador de Recursos do Servidor de Arquivos”. Nele é possível realizar uma melhor gerência dos arquivos do servidor, como cota, mover arquivos antigos, triagem, etc. Pra tentar se proteger dos “Ransomware” utilizaremos a triagem de arquivos.

Se você não tiver instalado o FSRM, acesse o gerenciador do servidor -> Gerenciar -> Adicionar Funções e Recursos, e habilite a opção conforme figura abaixo:

Crie um pasta em C:\dados\scripts ou em lugar de sua preferência e faça o download do script em: https://github.com/wanderleihuttel/protect-ransomware

Precisamos criar um novo grupo de arquivo, com as extensões conhecidas dos ransomwares, para isso acesse o powershell como administrador e digite o seguinte comando:

# Para criar o grupo de arquivos (executar somente na primeira vez)
new-FsrmFileGroup -name "Arquivos Ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

# Para atualizar o grupo de arquivos
Set-FsrmFileGroup -name "Arquivos Ransomware" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})

Com o grupo de arquivos criado, podemos acessar o FSRM, para isso no menu iniciar procure por fsrm.msc.

1) Em triagem de arquivos, clique em “criar triagem de arquivos”. Vai abrir uma tela conforme a tela abaixo, selecione o compartilhamento que deseja monitorar e clique em “propriedades personalizadas”



2) Selecione o grupo de arquivos “Arquivos Ransomware”

3) Marque a opção “Enviar aviso para log de eventos”

4) Marque a opção “Executar este comando ou script” e coloque o caminho do powershell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Em argumentos do comando coloque o comando abaixo:

-ExecutionPolicy Unrestricted -NoLogo -Command C:\dados\scripts\email_ransomware.ps1 '[Source Io Owner]' '[Source File Path]' '[File Screen Path]' '[Server]' '[Violated File Group]'

Em executar comando como, selecione a opção “Sistema Local”

5) Configurar opções

6) Alterar o tempo limite de notificação para 2 minutos

Para efetuar um teste pasta tentar salvar um arquivo com uma extensão “.cerber” por exemplo e tentar copiar para o diretório compartilhado onde está aplicada a triagem.
Você irá receber um email e uma mensagem no telegram e também seu acesso será bloqueado em todos os compartilhamentos de rede do servidor.

Para desbloquear utilize o comando abaixo no poweshell, substituindo o “UserName” pelo login do usuário bloqueado.

Get-SmbShare -Special $false | ForEach-Object { Unblock-SmbShareAccess -Name $_.Name -AccountName 'UserName' -Force }

Não é garantido que a triagem e o script vão proteger efetivamente contra ransomware, mas é uma forma de bloquear o acesso do usuário que por ventura tentar salvar um arquivo no servidor com uma extensão que geralmente pertence aos ransomwares.
Lembre-se de fazer backup constantemente, manter seu sistema operacional e antivírus sempre atualizados, e nunca clique em arquivos ou links suspeitos.

Fontes consultadas
http://blog.netwrix.com/2016/04/11/ransomware-protection-using-fsrm-and-powershell/
https://fsrm.experiant.ca/

by