Cryptolocker/Ransomware mit FSRM erkennen/behindern/stoppen

Basierend auf diesem ausgezeichneten Artikel kann man sich mit dem FSRM (File Server Resource Manager) über Cryptolocker/Ransomware-Aktivitäten recht gut informieren lassen und ggf. auch direkt reagieren (lassen); wenn man das aber manuell auf vielen Servern (z.b. Terminalserverfarm) einrichten muss ist das eher anstrengend, daher habe ich folgendes Scriptl zusammen geschrieben welches auf 2008R2 und 2012(R2) funktioniert – ja ab 2012 gibts Kraftmuschel Cmdlets dafür aber solange das FILESCRN Dingens noch geht ist es so einfacher weil OS übergreifend:

Add-WindowsFeature fs-resource-manager

filescrn admin options /AdminEmails:"myadminmailbox@mydomain.com" 
filescrn admin options /RunLimitInterval:"M,0"
filescrn admin options /RunLimitInterval:"E,0"
filescrn admin options /RunLimitInterval:"C,0"
filescrn admin options /RunLimitInterval:"R,0"
filescrn admin options /SMTP:"mysmtp.mydomain.com"
filescrn admin options /From:"fsrm@mydomain.com"

filescrn filegroup add /filegroup:"Ransomware" /members:"*.k|*.encoderpass|*.locky|*.key|*.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx|*.ttt|*.micro|*.encrypted|*.locked|*.crypto|_crypt|*.crinf|*.r5a|*.xrtn|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good|*.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker|*.EnCiPhErEd|*.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999|*.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky|HELPDECRYPT.TXT|HELP_YOUR_FILES.TXT|HELP_TO_DECRYPT_YOUR_FILES.txt|RECOVERY_KEY.txt|HELP_RESTORE_FILES.txt|HELP_RECOVER_FILES.txt|HELP_TO_SAVE_FILES.txt|DecryptAllFiles.txt|DECRYPT_INSTRUCTIONS.TXT|INSTRUCCIONES_DESCIFRADO.TXT|How_To_Recover_Files.txt|YOUR_FILES.HTML|YOUR_FILES.url|encryptor_raas_readme_liesmich.txt|Help_Decrypt.txt|DECRYPT_INSTRUCTION.TXT|HOW_TO_DECRYPT_FILES.TXT|ReadDecryptFilesHere.txt|Coin.Locker.txt|_secret_code.txt|About_Files.txt|DECRYPT_ReadMe.TXT|DecryptAllFiles.txt|FILESAREGONE.TXT|IAMREADYTOPAY.TXT|HELLOTHERE.TXT|READTHISNOW!!!.TXT|SECRETIDHERE.KEY|IHAVEYOURSECRET.KEY|SECRET.KEY|HELPDECYPRT_YOUR_FILES.HTML|help_decrypt_your_files.html|HELP_TO_SAVE_FILES.txt|RECOVERY_FILES.txt|RECOVERY_FILE.TXT|RECOVERY_FILE*.txt|HowtoRESTORE_FILES.txt|HowtoRestore_FILES.txt|howto_recover_file.txt|restorefiles.txt|howrecover+*.txt|_how_recover.txt|recoveryfile*.txt|recoverfile*.txt|recoveryfile*.txt|Howto_Restore_FILES.TXT|help_recover_instructions+*.txt|_Locky_recover_instructions.txt|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.png|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.txt|_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.html"

set-content -Value "Notification=M" -Path C:\TEMP\FSRM-Mail.config
add-content -Value "To=myrecipient1@mydomain.com;myrecipient2@mydomain.com" -Path C:\TEMP\FSRM-Mail.config
add-content -Value "From=fsrm@mydomain.com" -Path C:\TEMP\FSRM-Mail.config
add-content -Value "ReplyTo=fsrm@mydomain.com" -Path C:\TEMP\FSRM-Mail.config
add-content -Value "Subject=Unauthorized file from the [Violated File Group] file group detected" -Path C:\TEMP\FSRM-Mail.config
add-content -Value "Message=User [Source Io Owner] attempted to save [Source File Path] to [File Screen Path] on the [Server] server. This file is in the [Violated File Group] file group, which is not permitted on the server." -Path C:\TEMP\FSRM-Mail.config

set-content -Value "Notification=E" -Path C:\TEMP\FSRM-Event.config
add-content -Value "EventType=Warning" -Path C:\TEMP\FSRM-Event.config
add-content -Value "Message=User [Source Io Owner] attempted to save [Source File Path] to [File Screen Path] on the [Server] server. This file is in the [Violated File Group] file group, which is not permitted on the server." -Path C:\TEMP\FSRM-Event.config

filescrn template add /Template:"Block Ransomware" /Type:Active /Add-Filegroup:Ransomware /Add-Notification:"M,C:\Temp\FSRM-Mail.config" /Add-Notification:"E,C:\Temp\FSRM-Event.config"

filescrn screen add /Path:C:\Users /SourceTemplate:"Block Ransomware" /Type:Active /Overwrite
filescrn screen add /Path:C:\ProgramData /SourceTemplate:"Block Ransomware" /Type:Active /Overwrite

Hinweise:
1) Bei 2012(R2) muss man -IncludeManagementTools beim Add-WindowsFeature angeben falls man die Konsole überall haben will.
2) Ich erzeuge die Config-Files inline weil ich das ganze via Invoke-Command aufrufen will und nicht in irgendwelche Kerberos-Delegation/CredSSP Kackehaufen springen wollte wenn die Config-Files irgendwo auf einem Share liegen.
3) Das ist nur Eventlog/Mailing-Config – wir machen nichts automatisch um irgendwelchen lustigen Leuten die dann aus Spaß entsprechende Files anlegen nicht die Gelegenheit zu geben gröber was anzurichten.
4) Auf die benutzte Mailbox (fsrm@mydomain.com) muss das Rechnerkonto mit “Send-As” berechtigt warden (direkt oder über Gruppe): Add-ADPermission -Identity 'Besitzer der Mailbox' -User 'Rechnerkonto oder Gruppe des FSRM Servers' -ExtendedRights 'Send-As'
5) Natürlich alles ohne Schusswaffe 🙂