איך לסמלץ מתקפת Ransomware מבוססת PowerShell

מתקפות Ransomware הולכות וגוברות עם הזמן ואף נעשות מתוחכמות, ארגונים רבים חוששים מהאפשרות שיהיו במתקפה כזאת ולכן משקיעים מאמצים רבים במערכות ונהלים שיוכלו להגן על המשתמשים.
אחת הבעיות הנפוצות היא איך לסמלץ Ransomware בארגון ולקוות שכל המערכות יעלו על המתקפה המדומה, ישנם מספר כלים בודדים שיכולים לסמלץ מתקפת Ransomware בינהם סימולציה מבוססת PowerShell סקריפט.
כאשר Ransomware נכנס לפעולה הוא מצפין את הקבצים אך רגע לפני הצפנה הוא מבצע שינויים על אותם קבצים שהוא מצפין ומדובר על שינויים של שינוי שמות קבצים ובעיקר לסיומות וכן שינוי בקובץ עצמו ואת כל הפעולות האלה מבצע תוך פחות מדקה אחת בלבד.

איך לסמלץ Ransomware

ניתן לסמלץ אץ פעולה Ransomware בתחנת קצה ע”י סקריפט פשוט שניתן להריץ מתוך PowerShell, הסקריפט רץ יוצר קבצים, משנה את הסיומות ומוסיף תוכן לקובץ.

יש לשמור את הסקריפט לקובץ PS1

$strDir = "C:\temp\"
GCI $strDir | Remove-Item -Force
1..500 | % { $strPath = $strDir + $_ + ".txt"; "Ransomware Testing" | Out-File $strPath | Out-Null }
Measure-Command { 1..1001 | % { $strPath = $strDir + $_ + ".txt"; $strNewPath = $strPath + ".chng"; "changed" | Out-File -Append $strPath; Rename-Item -Path $strPath -NewName $strNewPath } }

  • שורה רביעית מסמלצת את המתקפה

image

הערות

  • רוב מתפקות Ransomware עובדות באופן של שינוי קבצים ושינוי סיומות
  • חשוב להרית את הסקריפט בסביבה שיכולה לזהות מתקפות (ללא מערכת אין משמעות לסימולציה)

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s