Криптолокеры становятся все более и более активными, а 12 мая началась настоящая эпидемия шифровальщика WannaCry, который парализовал работу многих организаций по всему миру. В связи с этим мы хотели бы поделиться с вами короткой инструкцией, как вовремя обнаружить и обезвредить подобный вредоносный код с помощью Paessler PRTG.
1. В корневой папке файлового ресурса создаются несколько файлов с названием _DONT_CHANGE.TXT (.JPG, .DOC). Название логично указывает, что их нельзя изменять. Все они имеют одну и ту же дату создания.
2. В PRTG добавляется базовый File-сенсор, который назовем «Static File Change [FS-01] TXT (VIRUS?)».
Сенсор отслеживает метку времени последнего изменения файла. Как только криптолокер начинает шифровать файл, одновременно меняется дата его последнего изменения. Интервал опроса сенсора лучше выставить поменьше (к примеру, 1 минуту). Это поможет вам максимально оперативно отреагировать на инцидент.
3. Ставим порог Lower Error Limit (s), равный 300 на канал Last Modified нашего нового сенсора.
Во вкладке уведомлений нужно создать Threshold Trigger и настроить оповещение об изменениях файла на электронную почту и (или) по SMS.
Это позволит вовремя заметить атаку и принять меры по ее локализации и предотвращению.
4. Ущерб от криптолокеров также можно предотвратить, запретив изменения файлового ресурса и сделав его доступным только для чтения. Это можно сделать, зайдя в управление файловым сервером. Там нужно открыть «Диспетчер серверов», перейти к ролям и кликнуть на «Файловые сервисы». После этого заходим в «Управление общим ресурсом», а далее – «Управление хранением». Здесь можно выполнить проверку каждого ресурса:
Свойства > Разрешения > Разрешения для общего ресурса
Зайдя в последний пункт меню, нужно удалить разрешение для группы «Все». Таким образом, никакой криптолокер не сможет изменить файлы.
На заключительном этапе можно найти владельца зашифрованных файлов и восстановить файлы из бекапа.
Очень надеемся, что наш совет поможет вам сохранить в неприкосновенности вашу информацию!
