Fájlok helyreállítása egy titkosító fertőzés után a VSS pillanatképeiből

Folytatunk egy cikksort a kriptográfiai vírusok elleni küzdelem módszeréről. Legutóbb az FSRM használatával a fájlkiszolgálókon átmenő proaktív védelem módszerét vizsgáltuk meg. Ma egy olyan adat-helyreállítási módszerről fogunk beszélni, amely lehetővé teszi fájdalommentes fájlok helyreállítását olyan esetekben, amikor a vírus már áttörött és titkosította a felhasználó számítógépén található dokumentumokat..

A dokumentumok trójai titkosítóval való titkosítása után az eredeti adatok visszaadásának legegyszerűbb módja az adatok helyreállítása a biztonsági másolatból. És ha még mindig meg lehet szervezni a szerverek központi adatmentését, akkor sokkal nehezebb biztonsági másolatot készíteni a felhasználók számítógépeiről. Szerencsére a Windows már rendelkezik beépített biztonsági mentési mechanizmussal. - árnyékmásolatok, készítette: Volume Shadow Copy Service (VSS).

A fájlok régi verzióinak a VSS pillanatképekből való visszaállításához a következő feltételeknek kell teljesülniük:

  • A VSS-t engedélyezni kell a védett kötetekhez
  • elegendő szabad lemezterületnek kell lennie a képek tárolásához (legalább 10-20%)
  • a felhasználónak nem szabad helyi adminisztrátori jogokkal rendelkeznie a számítógépén (a legmodernebb rendszergazdai jogokkal működő titkosítók törli az összes elérhető VSS pillanatfelvételt), és a felhasználói fiókok ellenőrzése (UAC) engedélyezve van

Fontolja meg a pillanatkép-házirendek központosított kezelésének mechanizmusát az Active Directory tartományi környezetében, hogy lehetővé tegyék az adatok helyreállítását titkosító vírus támadás után.

Tartalom:

  • A VSS engedélyezése a GPO-t használó számítógépeken
  • A vshadow.exe másolása a felhasználói számítógépekre GPO használatával
  • PowerShell parancsfájl az összes kötet árnyék pillanatképeinek létrehozásához
  • Ütemező feladat VSS pillanatképek készítéséhez
  • Az eredeti adatok visszaállítása egy kötet árnyékmásolatából
  • következtetés

A VSS engedélyezése a GPO-t használó számítógépeken

Mindenekelőtt létrehozunk egy csoportházirendet, amely magában foglalja a Volume Shadow Copy Service (VSS) szolgáltatást a felhasználók számítógépein. Ehhez a konzolban GPMC.msc hozzon létre egy új csoportházirend-objektumot VSSPolicy és rendelje hozzá az OU-hoz a felhasználói számítógépekkel.

Váltunk a GPO-szerkesztési módra. Aztán a szakaszban számítógép Configuration>A windows Beállítások->biztonság Beállítások->rendszer szolgáltatás a szolgáltatások listájában, amelyre meg kell találnia egy szolgáltatást kötet árnyék másolat és állítsa be az indítási típust automatikus.

A vshadow.exe másolása a felhasználói számítógépekre GPO használatával

Árnyékmásolatok létrehozásához és kezeléséhez a felhasználói számítógépeken segédprogramra van szükségünk vshadow.exe a Windows SDK-ból. Ebben a példában az SDK vshadow-ját fogjuk használni a Windows 7 x64 esetén (az én esetemben a Windows 7 és a Windows 10 x64 esetén is helyesen működött). A GPP használatával másolja a vshadow.exe fájlt a% windir% \ system32 könyvtárba minden számítógépen.

tanács. A vshadow.exe fájl letölthető erről a linkről: vshadow-7 × 64.zip

Ehhez a házirend szakaszban Számítógép konfigurálása -> Beállítások -> Windows beállítások -> Fájlok hozzon létre egy új házirendet, amely másolja a vshadow.exe fájlt a könyvtárból \\domain.loc \ SYSVOL \domain.loc \ scripts \ (a fájlt itt kell másolni) a katalógusba % windir% \ system32 \ vshadow.exe (meg kell adnia a fájl nevét a rendeltetési helyen). Konfigurálhatja ezt a házirendet, hogy csak egyszer működjön (egyszer alkalmazza, és ne alkalmazza újra).

PowerShell parancsfájl az összes kötet árnyék pillanatképeinek létrehozásához

Ezután szükségünk van egy parancsfájlra, amely meghatározza a rendszer lemezeinek listáját, lehetővé teszi az árnyék rögzítését mindenki számára, és létrehoz egy új VSS pillanatképet. Kaptam a következő forgatókönyvet:

$ HDD = GET-WMIOBJECT -query "SELECT * from win32_logicaldisk, ahol DriveType = 3"
foreach ($ HDD $ HDD-kben)
$ Drive = $ HDD.DeviceID
$ vssadminEnable = "vssadmin.exe ShadowStorage átméretezése / Mert = $ Drive / On = $ Drive / MaxSize = 10%"
$ vsscreatess = "vshadow.exe -p $ Drive"
cmd / c $ vssadminEnable
cmd / c $ vsscreatess

Az első kifejezés lehetővé teszi, hogy megtalálja az összes lemezt a rendszerben, majd az vshadow segédprogram minden lemezen aktiválja az árnyékmásolatokat, amelyeknek a terület legfeljebb 10% -át el kell foglalni, és új példányt készít..

Ez a szkript fájlba kerül VSS-forgatókönyv.PS1 és GPO-n keresztül másolja is a felhasználók számítógépére.

Ütemező feladat VSS pillanatképek készítéséhez

Az utolsó feladat az, hogy minden számítógépen hozzon létre egy ütemező feladatot, amely rendszeresen futtatja a vss-script.ps1 PowerShell parancsfájlt, és új vss lemez pillanatképet készít. Egy ilyen feladat létrehozásának legegyszerűbb módja a GPP. Erre a szakaszban számítógép Konfiguráció -> Beállítások -> Ütemezett feladatok hozzon létre egy új ütemező feladatot (Új-> Ütemezett feladat (legalább Windows 7) a következő névvel: teremt vssnapshot, ami fut NT HATÓSÁG \rendszer megemelt jogokkal.

Tegyük fel, hogy a feladatnak minden nap délben, 13:20-kor kell kezdődnie (itt önállóan kell gondolkodnia a képek létrehozásának szükséges gyakoriságán)..

Futtassa a szkriptet:% windir% \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe

% windir% \ system32 \ vss-script.ps1 argumentummal

tanács. Gondoskodni kell egy heti feladat létrehozásáról az ütemező számára a régi VSS pillanatképek törlésére is. Ehhez hozzon létre egy új feladatot az ütemező számára, amely az elsőhez hasonló szkriptet futtat, de a sorokkal:

$ vssadminDeleteOld = “vshadow.exe -do =% $ Drive”
cmd / c $ vssadminDeleteOld

Az eredeti adatok visszaállítása egy kötet árnyékmásolatából

Abban az esetben, ha a titkosító mindazonáltal bejutott a felhasználó számítógépére, és elvégezte a piszkos munkáját, a rendszerből való eltávolítás után a rendszergazda visszaállíthatja a felhasználói dokumentumokat az utolsó pillanatképből.

Az elérhető pillanatképek listája a következő paranccsal jeleníthető meg:

A vssadmin.exe árnyékot sorol fel

Példánkban az utolsó lövés 2016.10.06-án 1:33:35 volt, és árnyékmásolat-azonosítója = 6bd666ac-4b42-4734-8fdd-fab64925c66c.

Az olvasott pillanatképet külön rendszermeghajtóként csatoljuk azonosítójával:

vshadow -el = 6bd666ac-4b42-4734-8fdd-fab64925c66c, Z:

Most a File Explorer vagy bármely fájlkezelő használatával másolja az eredeti fájlokat a Z: meghajtóra, amely a csatlakoztatott lemez pillanatképének tartalma.

Lemez leszerelése pillanatkép segítségével:

mountvol Z: \ / D

tanács. Van még egy kényelmesebb grafikus eszköz az adatok megtekintéséhez és a VSS-képekből történő kinyeréséhez - ShadowExplorer.

következtetés

A VSS árnyékmásolata természetesen nem alkalmas a kriptográfiai vírusok elleni küzdelemre, és nem törli a hálózat vírusok elleni védelmének integrált megközelítését (antivírusok, a futtatható fájlok elindításának megakadályozása SRP vagy AppLocker házirendek, SmartScreen hírnév szűrők stb.). A kötetek árnyékmásolatainak egyszerűsítése és hozzáférhetősége azonban véleményem szerint a titkosított adatok visszaszerzésének ezen egyszerű módszerének nagy előnye, amely nagy valószínűséggel hasznos, ha a felhasználó számítógépén átjut a fertőzés..