Windows Ressourcen-Manager für Dateiserver zum Schutz vor Crypto Locker

Ransomware à la Locky oder Crypto Locker entwickeln sich immer mehr zu einer Plage. Auch in Krankenhäusern sind solche Verschlüsselungs-Trojaner aufgetaucht.

Da uns von Einzelfällen bei Kunden berichtet wurden, möchten wir Ihnen in diesem Howto aufzeigen wie Sie ihren Fileserver mit Hilfe des Windows Ressourcen-Manager für Dateiserver (nicht auf Laufwerken mit ReFS) vor einem Angriff auf Netzlaufwerk-Ressourcen absichern können. Dem ausführende Client wird mit Hilfe eines PowerShell Skripts die Berechtigung auf die Netzlaufwerk entzogen. In diesem How-To wurde ein Server 2012 R2 sowie WIndows 7 Pro und Windows 8.1 Pro Clients getestet.

Meistens werden solche Trojaner von Clients aus aktiviert und können sich schnell über Netzlaufwerke ausbreiten. Selbst ein Virenschutz auf dem Filesever selbst hilft da meistens wenig. Wer möchte schon gerne morgens in die Firma kommen und komplett verschlüsselte Laufwerke vorfinden?

Wie oben angesprochen kommt der Ressourcen-Manager zum Einsatz. Sollte der Ressourcen-Manager noch nicht installiert sein muss dieses als erstes geschehen.

Nach der Installation, kann der Ressourcen-Manager noch für den E-Mailversand konfiguriert werden.

In diesem Fall kommt der SMTP-Server Dienst zum Einsatz. Der so konfiguriert wurde das es nur Anfragen von localhost weiterleitet.

Jetzt ist der Ressource-Manager so konfiguriert das er Benachrichtigungen mit der oben genannten Konfiguration durchführen kann. Als nächstes müsse Sie eine neue Dateigruppe anlegen, die alle Dateiendungen enthält, welche der Trojaner benutzt.

Bei einem Server 2012 R2 kann das am einfachsten über die PowerShell erfolgen. Beispiel:

New-FsrmFileGroup -Name "Ransomware" –IncludePattern @("*.k","*.encoderpass",".key","*.locky","*.key","*.ecc","*.ezz","*.exx","*.zzz","*.xyz","*.aaa","*.abc","*.ccc","*.vvv","*.xxx","*.ttt","*.micro","*.encrypted","*.locked","*.crypto","*.crypt","_crypt","*.crinf","*.r5a","*.xrtn","*.XRNT","*.XTBL","*.crypt","*.R16M01D05","*.pzdc","*.good","*.LOL!","*.OMG!","*.RDM","*.RRK","*.encryptedRSA","*.crjoker","*.EnCiPhErEd","*.LeChiffre","*.keybtc@inbox_com","*.0x0","*.bleep","*.1999","*.vault","*.HA3","*.toxcrypt","*.magic","*.SUPERCRYPT","*.CTBL","*.CTB2","*.locky","HELPDECRYPT.TXT","HELP_YOUR_FILES.TXT","HELP_TO_DECRYPT_YOUR_FILES.txt","RECOVERY_KEY.txt","HELP_RESTORE_FILES.txt","HELP_RECOVER_FILES.txt","HELP_TO_SAVE_FILES.txt","DecryptAllFiles.txt","DECRYPT_INSTRUCTIONS.TXT","INSTRUCCIONES_DESCIFRADO.TXT","How_To_Recover_Files.txt","YOUR_FILES.HTML","YOUR_FILES.url","encryptor_raas_readme_liesmich.txt","Help_Decrypt.txt","DECRYPT_INSTRUCTION.TXT","HOW_TO_DECRYPT_FILES.TXT","ReadDecryptFilesHere.txt","Coin.Locker.txt","_secret_code.txt","About_Files.txt","Read.txt","ReadMe.txt","DECRYPT_ReadMe.TXT","DecryptAllFiles.txt","FILESAREGONE.TXT","IAMREADYTOPAY.TXT","HELLOTHERE.TXT","READTHISNOW!!!.TXT","SECRETIDHERE.KEY","IHAVEYOURSECRET.KEY","SECRET.KEY","HELPDECYPRT_YOUR_FILES.HTML","help_decrypt_your_files.html","HELP_TO_SAVE_FILES.txt","RECOVERY_FILES.txt","RECOVERY_FILE.TXT","RECOVERY_FILE*.txt","HowtoRESTORE_FILES.txt","HowtoRestore_FILES.txt","howto_recover_file.txt","restorefiles.txt","howrecover+*.txt","_how_recover.txt","recoveryfile*.txt","recoverfile*.txt","recoveryfile*.txt","Howto_Restore_FILES.TXT","help_recover_instructions+*.txt","_Locky_recover_instructions.txt","_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.png","_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.txt","_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.html","*.mp3 (TeslaCrypt V3)")

Bei einem Server 2008 gibt es das CMDLet New-FsrmFileGroup nocht nicht daher können Sie hier auf das Kommando filescrn zurückgreifen.

filescrn filegroup add /filegroup:"Ransomware" /members:"*.k|*.encoderpass|*.locky|*.key|*.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx|*.ttt|*.micro|*.encrypted|*.locked|*.crypto|*.crypt|_crypt|*.crinf|*.r5a|*.xrtn|*.XRNT|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good|*.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker|*.EnCiPhErEd|*.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999|*.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky|HELPDECRYPT.TXT|HELP_YOUR_FILES.TXT|HELP_TO_DECRYPT_YOUR_FILES.txt|RECOVERY_KEY.txt|HELP_RESTORE_FILES.txt|HELP_RECOVER_FILES.txt|HELP_TO_SAVE_FILES.txt|DecryptAllFiles.txt|DECRYPT_INSTRUCTIONS.TXT|INSTRUCCIONES_DESCIFRADO.TXT|How_To_Recover_Files.txt|YOUR_FILES.HTML|YOUR_FILES.url|encryptor_raas_readme_liesmich.txt|Help_Decrypt.txt|DECRYPT_INSTRUCTION.TXT|HOW_TO_DECRYPT_FILES.TXT|ReadDecryptFilesHere.txt|Coin.Locker.txt|_secret_code.txt|About_Files.txt|Read.txt|ReadMe.txt|DECRYPT_ReadMe.TXT|DecryptAllFiles.txt|FILESAREGONE.TXT|IAMREADYTOPAY.TXT|HELLOTHERE.TXT|READTHISNOW!!!.TXT|SECRETIDHERE.KEY|IHAVEYOURSECRET.KEY|SECRET.KEY|HELPDECYPRT_YOUR_FILES.HTML|help_decrypt_your_files.html|HELP_TO_SAVE_FILES.txt|RECOVERY_FILES.txt|RECOVERY_FILE.TXT|RECOVERY_FILE*.txt|HowtoRESTORE_FILES.txt|HowtoRestore_FILES.txt|howto_recover_file.txt|restorefiles.txt|howrecover+*.txt|_how_recover.txt|recoveryfile*.txt|recoverfile*.txt|recoveryfile*.txt|Howto_Restore_FILES.TXT|help_recover_instructions+*.txt|_Locky_recover_instructions.txt|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.png|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.txt|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.html|*.mp3 (TeslaCrypt V3)"

Bei beiden Servern können Sie die Eingabe auf manuell durchführen. In diesem Beispiel heißt die neu erstellte Dateigruppe „Ransomware“.

Daher hier noch einmal die Liste mit potenziellen Dateiendungen die von Ransomware verwendet wird als Textdatei. Diese Liste der Dateiendungen sollte ständig angepasst und aktualisiert werden.

Nachdem Die Dateigruppe angelegt wurde, kann eine Dateiprüfung erstellt werden. Als Dateiprüfungspfad können Sie dann entweder der Pfad zur Freigabe, oder besser einfach das ganze Laufwerk angeben.

Unter „Benutzerdefinierte Eigentschaften“, wählen Sie jetzt die zuvor erstellte Dateigruppe „Ransomware“ aus.

Am besten wählen Sie beim Prüfungstyp erst einmal „Passives Prüfen“, um sicherzustellen dass nicht auch zulässige Dateiendungen von Programmen in der Dateigruppe „Ransomware“ enthalten sind. Im Test hat das passive Prüfen eine neu erstelle Beispieldatei identifiziert und den Client die Berechtigungen auf das Netzlaufwerk entzogen.

Unter dem Reiter „E-Mail-Nachricht“, können Sie nun noch die E-Mail Benachrichtigung aktivieren, falls Sie zuvor den „Ressource-Manager“ für den E-Mail-Versand konfiguriert haben.

Danach kann die Dateiprüfung gespeichert werden. Die Einstellungen müssen dabei nicht als Vorlage gespeichert werden.
Mit diesen Einstellungen erhalten der Administrator sowie der Benutzer eine E-Mail. Damit ist die Konfiguration noch nicht abgeschlossen. Als nächsten Schritt wird ein Skript hinterlegt der bei einer positiven Dateiüberprüfung ausgeführt wird.

Als erstes wird wie folgt eingestellt das Warnungen an das Ereignisprotokoll gesendet werden.

Laden Sie dann das folgende ZIP-Archiv herunter und entpacken Sie die enthaltenen Skripte in ein Verzeichnis. In unserem Fall ist es das Verzeichnis „D:\ScriptsResMan“. In den enthaltenen Skripten müssen die Pfade entsprechend angepasst werden.

Bei der zuvor erstellten Dateiüberprüfung unter dem Reiter „Befehl“ wird jetzt die „CMD-Datei“ wie folgt hinterlegt.

In den Optionen des Ressourcen-Manager müssen jetzt noch die Limits für Ereignisprotokollbenachrichtigungen und Befehlsbenachrichtigungen aufgehoben werden.

Funktionsweise:

Wenn ein Benutzer (oder auch der Trojaner) eine Datei auf einem Netzlaufwerk mit einer der geblockten Endungen erstellt, erzeugt der Ressourcen-Manager ein Event mit der ID:8215 im Ereignisprotokoll.

Zusätzlich wird das Skript „blockshare.cmd“ gestartet, welches das PowerShell Script „blockshare.ps1“ ausführt. Ohne diesen Umweg bereitet die UAC Probleme.

Das PowerShell Skript ließt aus dem Ereignisprotokoll das Benutzerkonto welches das Ereignis ausgelöst hat, in dem es versucht hat eine Datei zu verschlüsseln, bzw. eine geblockte Datei anzulegen. Dann wird dem Benutzer auf der Freigabe die Berechtigung entzogen.

Im Ordner in dem die Skripte liegen wird außerdem eine Datei „logfile.csv“ angelegt in dem der Dateipfad sowie der Benutzer gespeichert werden.

Mit Hilfe des Skriptes können Sie natürlich auch andere Aktionen starten. So könnte man z.B. nach auslösen von mehr als 40 Ereignissen, unterschiedlicher Benutzer, den Server komplett herunter fahren um einen noch größeren Schaden zu entkommen.

Weiterführende Artikel:

• Windows Clients via GPOs vor Ransomware schützen
• Windows Based Script Host Dateizuordnungen per GPP steuern

Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.