Obnova súborov po infekcii šifrovaním zo snímok VSS

Pokračujeme v sérii článkov o metódach boja proti kryptografickým vírusom. Naposledy sme sa zaoberali jednoduchou metódou proaktívnej ochrany proti ransomware na súborových serveroch pomocou FSRM. Dnes budeme hovoriť o metóde obnovy dát, ktorá vám umožní bezbolestne obnoviť súbory v prípadoch, keď vírus už prešiel a zašifroval dokumenty v počítači používateľa..

Najjednoduchší spôsob, ako vrátiť pôvodné údaje po šifrovaní dokumentov pomocou trójskeho šifrovača, je obnoviť údaje zo zálohy. A ak je možné centralizované zálohovanie údajov na serveroch stále organizovať, zálohovanie údajov z počítačov používateľov je oveľa zložitejšie. Našťastie Windows už má zabudovaný zálohovací mechanizmus. - tieňové kópie, vytvoril Volume Shadow Copy Service (VSS).

Aby bolo možné obnoviť staré verzie súborov zo snímok VSS, musia byť splnené nasledujúce podmienky:

  • Pre chránené zväzky musí byť povolená služba VSS
  • na ukladanie obrázkov by malo byť dostatok voľného miesta na disku (najmenej 10 - 20%)
  • používateľ by nemal mať na svojom počítači práva miestneho administrátora (väčšina moderných šifrovacích zariadení spustených s administrátorskými právami odstráni všetky dostupné snímky VSS) a ochrana UAC (User Account Control) je povolená

Zvážte mechanizmus centralizovanej správy politík snímok v prostredí domény Active Directory, ktorý umožní obnovu údajov po útoku vírusu šifrovacieho systému.

obsah:

  • Povolenie VSS na počítačoch používajúcich GPO
  • Kopírovanie vshadow.exe do počítačov používateľov pomocou GPO
  • Skript PowerShell umožňuje vytvárať tieňové snímky všetkých zväzkov
  • Úloha plánovača na vytváranie snímok VSS
  • Obnovte pôvodné údaje z tieňovej kópie zväzku
  • záver

Povolenie VSS na počítačoch používajúcich GPO

Najprv vytvoríme skupinovú politiku, ktorá bude zahŕňať službu služby Volume Shadow Copy Service (VSS) na počítačoch používateľov. Ak to chcete urobiť, v konzole GPMC.msc vytvorte nový objekt GPO s názvom VSSPolicy a priradiť ju OU k počítačom používateľov.

Prejdime do režimu úprav GPO. Potom v sekcii počítačový Konfigurace->windows Nastavenie->zabezpečenia Nastavenie->systém služba v zozname služieb, ktoré potrebujete nájsť objem tieň kópie a nastavte pre tento typ spustenia automatický.

Kopírovanie vshadow.exe do počítačov používateľov pomocou GPO

Na vytvorenie a správu tieňových kópií na počítačoch používateľov potrebujeme pomôcku vshadow.exe z Windows SDK. V tomto príklade použijeme vshadow z SDK pre Windows 7 x64 (v mojom prípade to fungovalo správne na Windows 7 aj Windows 10 x64). Pomocou GPP skopírujte súbor vshadow.exe do adresára% windir% \ system32 na všetkých počítačoch.

rada. Súbor vshadow.exe si môžete stiahnuť z tohto odkazu: vshadow-7 × 64.zip

Ak to chcete urobiť, v časti s pravidlami Konfigurácia počítača -> Predvoľby -> Nastavenia systému Windows -> Súbory vytvorte novú politiku, ktorá skopíruje súbor vshadow.exe z adresára \\domain.loc \ SYSVOL \domain.loc \ scripts \ (súbor musí byť predtým skopírovaný) do katalógu % windir% \ system32 \ vshadow.exe (musíte zadať názov súboru v cieľovom umiestnení). Túto zásadu môžete nakonfigurovať tak, aby fungovala iba raz (použiť raz a znova sa neaplikovať).

Skript PowerShell umožňuje vytvárať tieňové snímky všetkých zväzkov

Ďalej potrebujeme skript, ktorý určí zoznam diskov v systéme, umožní tieňové nahrávanie pre všetkých a vytvorí novú snímku VSS. Mám nasledujúci skript:

$ HDD = GET-WMIOBJECT - otázka "SELECT * od win32_logicaldisk kde DriveType = 3"
foreach ($ HDD na $ HDD)
$ Drive = $ HDD.DeviceID
$ vssadminEnable = "vssadmin.exe Zmena veľkosti ShadowStorage / For = $ Drive / On = $ Drive / MaxSize = 10%"
$ vsscreatess = "vshadow.exe -p $ Drive"
cmd / c $ vssadminPovoliteľné
cmd / c $ vsscreatess

Prvý výraz vám umožní nájsť všetky disky v systéme a potom pre každý disk nástroj vshadow aktivuje tieňové kópie, ktoré by nemali zaberať viac ako 10% miesta a vytvoriť novú kópiu..

Tento skript sa uloží do súboru VSS-skript.PS1 a tiež kopírovať do počítačov používateľov prostredníctvom GPO.

Úloha plánovača na vytváranie snímok VSS

Posledné, čo musíte urobiť, je vytvoriť plánovaciu úlohu na všetkých počítačoch, ktoré by pravidelne spúšťali skript PowerShell vss-script.ps1 a vytvorili novú snímku disku vss. Najjednoduchší spôsob, ako vytvoriť takúto úlohu, je prostredníctvom GPP. Z tohto dôvodu v časti počítačový Konfigurácia -> Predvoľby -> naplánovaný úlohy vytvorte novú úlohu plánovača (Nová -> Plánovaná úloha (aspoň Windows 7) s názvom: vytvoriť vssnapshot, ktorý beží ako NT ÚRAD \systém so zvýšenými právami.

Povedzme, že úloha by sa mala začať každý deň v poludnie o 13:20 (tu musíte nezávisle premýšľať o potrebnej frekvencii vytvárania obrázkov).

Spustite skript:% windir% \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe

s argumentom% windir% \ system32 \ vss-script.ps1

rada. Je tiež potrebné zabezpečiť vytvorenie týždennej úlohy pre plánovača na odstránenie starých snímok VSS. Ak to chcete urobiť, vytvorte pre plánovač novú úlohu, ktorá spustí skript podobný prvej, ale s týmito riadkami:

$ vssadminDeleteOld = “vshadow.exe -do =% $ Drive”
cmd / c $ vssadminDeleteOld

Obnovte pôvodné údaje z tieňovej kópie zväzku

V prípade, že sa šifrovač napriek tomu dostal do počítača používateľa a vykonal svoju špinavú prácu, správca môže po vykorenení systému zo systému obnoviť dokumenty používateľa z poslednej snímky..

Príkazom je možné zobraziť zoznam všetkých dostupných snímok:

vssadmin.exe zoznam tieňov

V našom príklade bol posledný záber nasnímaný 10.6.2016 1:33:35 a má označenie tieňovej kópie = 6bd666ac-4b42-4734-8fdd-fab64925c66c.

Snímku na čítanie pripojíme ako samostatnú systémovú jednotku podľa jej ID:

vshadow -el = 6bd666ac-4b42-4734-8fdd-fab64925c66c, Z:

Teraz pomocou programu Prieskumník alebo iného správcu súborov skopírujte pôvodné súbory z jednotky Z:, ktorá je obsahom snímky pripojeného disku..

Postup odpojenia disku pomocou snímky:

mountvol Z: \ / D

rada. K dispozícii je tiež pohodlnejší grafický nástroj na prezeranie a extrahovanie údajov z obrázkov VSS - ShadowExplorer.

záver

Tieňové kópie VSS samozrejme nie sú metódou boja proti kryptografickým vírusom a nezrušia integrovaný prístup k zabezpečeniu siete pred vírusmi (antivírusy, blokovanie spúšťania spustiteľných súborov pomocou politík SRP alebo AppLocker, filtre reputácie SmartScreen atď.). Jednoduchosť a prístupnosť mechanizmu tieňových kópií zväzkov je však podľa môjho názoru veľkou výhodou tohto jednoduchého spôsobu obnovenia šifrovaných údajov, ktorý je veľmi pravdepodobne užitočný v prípade infekcie prenikajúcej do počítača používateľa..