איך לסמלץ התקפת Ransomware באמצעות PowerShell

מתקפות Ransomware הולכות וגוברות עם הזמן ואף נעשות מתוחכמות, ארגונים רבים חוששים מהאפשרות שיהיו במתקפה כזאת ולכן משקיעים מאמצים רבים במערכות ונהלים שיוכלו להגן על המשתמשים.
אחת הבעיות הנפוצות היא איך לסמלץ Ransomware בארגון ולקוות שכל המערכות יעלו על המתקפה המדומה, ישנם מספר כלים בודדים שיכולים לסמלץ מתקפת Ransomware בינהם סימולציה מבוססת PowerShell סקריפט.
כאשר Ransomware נכנס לפעולה הוא מצפין את הקבצים אך רגע לפני הצפנה הוא מבצע שינויים על אותם קבצים שהוא מצפין ומדובר על שינויים של שינוי שמות קבצים ובעיקר לסיומות וכן שינוי בקובץ עצמו ואת כל הפעולות האלה מבצע תוך פחות מדקה אחת בלבד.

איך לסמלץ Ransomware

ניתן לסמלץ אץ פעולה Ransomware בתחנת קצה ע”י סקריפט פשוט שניתן להריץ מתוך PowerShell, הסקריפט רץ יוצר קבצים, משנה את הסיומות ומוסיף תוכן לקובץ.

יש לשמור את הסקריפט לקובץ PS1

$strDir = "C:\temp\"
GCI $strDir | Remove-Item -Force
1..500 | % { $strPath = $strDir + $_ + ".txt"; "Ransomware Testing" | Out-File $strPath | Out-Null }
Measure-Command { 1..1001 | % { $strPath = $strDir + $_ + ".txt"; $strNewPath = $strPath + ".chng"; "changed" | Out-File -Append $strPath; Rename-Item -Path $strPath -NewName $strNewPath } }

  • שורה רביעית מסמלצת את המתקפה

הערות

  • רוב מתפקות Ransomware עובדות באופן של שינוי קבצים ושינוי סיומות
  • חשוב להרית את הסקריפט בסביבה שיכולה לזהות מתקפות (ללא מערכת אין משמעות לסימולציה)

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.