Ransomware Detect Guide for Windows Server 2012 R2

2016. 6. 9. 23:3702. Microsoft/Windows Server

  1. Powershell을 실행합니다.
  2. 파일 서버, 파일 서버 리소스 관리자를 설치합니다.

    Add-windowsFeature FS-Fileserver, FS-Resource-Manager -IncludeManagementTools를 입력합니다.

  3. 파일 서버 리소스 메니져를 실행합니다.

  4. 파일 서버 리소스 관리자를 실행합니다.

  5. 파일 그룹 > 파일 그룹 만들기를 클릭합니다.

  6. 파일 그룹 이름과 포함할 파일을 입력합니다. [포함할 파일명은 문서의 하단을 참조하세요]

  7. 파일 그룹 Ransomware File Group이 생성 되었습니다.

  8. 파일 차단 템플릿 > 파일 차단 템플릿 만들기를 클릭합니다.

  9. 템플릿 이름과 차단 종류, 파일 그룹을 선택합니다.

  10. 파일 차단 > 파일 차단 만들기를 실행합니다.

  11. 파일 서버의 경로 지정 후 템플릿을 선택합니다.

  12. 파일 서버의 파일 이름을 *.aaa로 변경합니다.

  13. 파일에 대한 엑세스가 거부 됩니다.

       

    [Ransomware Encryption Extension Name]

    *.{CRYPTENDBLACKDC}

    *.73i87A

    *.aaa

    *.abc

    *.AES256

    *.better_call_saul

    *.bloc

    *.btc

    *.btc-help-you

    *.btcbtcbtc

    *.cbf

    *.cerber

    *.chifrator@qq_com

    *.clf

    *.code

    *.coverton

    *.crime

    *.crinf

    *.crjoker

    *.cry

    *.crypt

    *.crypted

    *.CryptoTorLocker2015!

    *.CrySiS

    *.ctbl

    *.czvxce

    *.darkness

    *.dyatel@qq_com

    *.ecc

    *.enc

    *.encedRSA

    *.EnCiPhErEd

    *.encrypt

    *.Encrypted

    *.encryptedAES

    *.encryptedRSA

    *.encryptedped

    *.enigma

    *.exx

    *.ezz

    *.fucked

    *.fun

    *.gruzin@qq_com

    *.gws

    *.ha3

    *.hb15

    *.helpdecrypt@ukr_net

    *.infected

    *.justbtcwillhelpyou

    *.keybtc@inbox_com

    *.KEYHOLES

    *.KEYZ

    *.kimcilware

    *.kkk

    *.korrektor

    *.kraken

    *.LeChiffre

    *.lock (some environments may need to monitor but not prevent this one, add at your own risk)

    *.locked

    *.locky

    *.LOL!

    *.micro

    *.nalog@qq_com

    *.nochance

    *.OMG!

    *.one-we_can-help_you

    *.oor

    *.oplata@qq_com

    *.oshit

    *.p5tkjw

    *.pizda@qq_com

    *.PoAr2w

    *.R4A

    *.R5A

    *.RADAMANT

    *.RDM

    *.relock@qq_com

    *.remind

    *.rokku

    *.RRK

    *.ryp

    *.sanction

    *.scl

    *.sport

    *.surprise

    *.troyancoder@qq_com

    *.trun

    *.ttt

    *.vault

    *.vscrypt

    *.vvv

    *.xort

    *.xrtn

    *.xtbl

    *.xxx

    *.xyz

    *.zzz


1 2 3 4 5 6 7 8 9 10 ··· 17