CryptoBlocker es un script en powershell sencillo pero bastante útil para bloquear a los usuarios infectados por distintas variantes de ransomware.
Lo ideal es instalarlo en los servidores de ficheros de tal manera que, cuando se detecte que un usuario escribe algún fichero malicioso en un recurso compartido, deniege inmediata y automáticamente el acceso para impedir que continue cifrando el resto.
Paso a paso lo que hace es lo siguiente:
1. Revisa los recursos de red compartidos
2. Instala File Server Resource Manager (FSRM)
3. Crea los scripts batch/PowerShell usados por FSRM
4. Crea un Grupo de Ficheros en FSRM que contiene los nombres de archivos y extensiones maliciosos
5. Crear una Pantalla de Ficheros usando el grupo creado anteriormente, con notificaciones de eventos y comandos
6. Crea Pantallas de Ficheros usando esa plantilla para cada unidad que contenga recursos de red compartidos
Recordar que este script no parará las variantes de ransomware que utilicen extesiones aleatorias ni borrará los ficheros README. También es posible utilizar el evento "Source = SRMSVC, ID = 8215" para personalizar alarmas si se dispone de un sistema de monitorización.
Evidentemente también podemos añadir más nombres de fichero / extensiones a $monitoredExtensions y volverlo a desplegar cuando sea necesario.
Fuente: https://github.com/m-dwyer/CryptoBlocker/
Lo ideal es instalarlo en los servidores de ficheros de tal manera que, cuando se detecte que un usuario escribe algún fichero malicioso en un recurso compartido, deniege inmediata y automáticamente el acceso para impedir que continue cifrando el resto.
Paso a paso lo que hace es lo siguiente:
1. Revisa los recursos de red compartidos
2. Instala File Server Resource Manager (FSRM)
3. Crea los scripts batch/PowerShell usados por FSRM
4. Crea un Grupo de Ficheros en FSRM que contiene los nombres de archivos y extensiones maliciosos
5. Crear una Pantalla de Ficheros usando el grupo creado anteriormente, con notificaciones de eventos y comandos
6. Crea Pantallas de Ficheros usando esa plantilla para cada unidad que contenga recursos de red compartidos
Recordar que este script no parará las variantes de ransomware que utilicen extesiones aleatorias ni borrará los ficheros README. También es posible utilizar el evento "Source = SRMSVC, ID = 8215" para personalizar alarmas si se dispone de un sistema de monitorización.
Evidentemente también podemos añadir más nombres de fichero / extensiones a $monitoredExtensions y volverlo a desplegar cuando sea necesario.
Fuente: https://github.com/m-dwyer/CryptoBlocker/
Comentarios
Publicar un comentario