WINDOWS 7
 Computer >> コンピューター >  >> システム >> WINDOWS 7

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

ランサムウェア対策に関する一連の記事を続けます。前回、FSRMを使用したWindowsファイルサーバーでの暗号化ランサムウェアに対する簡単な保護方法を検討しました。今日は、ランサムウェアがすでにコンピュータに侵入していて、ユーザードキュメントが暗号化されている場合に、ファイルを簡単に回復する方法について説明します。

暗号化ランサムウェアに感染した後に元のファイルを取り戻す最も簡単な方法は、バックアップからファイルを回復することです。ファイルサーバーで一元化されたバックアップを整理することはできますが、ユーザーのコンピューターでデータをバックアップすることはより困難です。幸い、Windowsには統合されたバックアップメカニズムがあります—シャドウコピー ボリュームシャドウコピーサービス(VSS)によって作成されました 。

VSSスナップショットから以前のバージョンのファイルを回復できるようにするには、次の要件を満たす必要があります。

  • 保護されたボリュームに対してVSSを有効にする必要があります
  • スナップショットを保存するのに十分な空き容量がディスクにあるはずです(少なくとも10〜20%)
  • ユーザーはコンピューターに対するローカル管理者権限を持ってはなりません(昇格を実行している場合の最新の暗号化マルウェアは、使用可能なすべてのVSSスナップショットを削除します)。ユーザーアカウント制御(UAC)を有効にする必要があります

Active Directoryドメイン環境でスナップショットを作成するポリシーを一元管理し、暗号化ランサムウェア攻撃後に元のファイルを簡単に復元できるメカニズムについて考えてみましょう。

内容:

  • GPOを使用してドメインコンピューターでVSSを有効にする方法
  • GPOを使用してVshadow.exeをユーザーのコンピューターにコピーする方法
  • すべてのボリュームのシャドウコピーを作成するPowerShellスクリプト
  • VSSスナップショットを作成するためのスケジュールされたタスク
  • VSSスナップショットから元のファイルを復元する方法
  • 結論

GPOを使用してドメインコンピューターでVSSを有効にする方法

まず、ドメインコンピューターでボリュームシャドウコピー(VSS)サービスを有効にするグループポリシーを作成します。これを行うには、 GPMC.mscで コンソールは、 VSSPolicyという名前の新しいGPOオブジェクトを作成します そして、それをユーザーコンピュータを含むOUに割り当てます。

次に、GPOを編集します。 [コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[システムサービス]のサービスのリスト ボリュームシャドウコピーを見つける 自動を設定します 開始タイプ。

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

GPOを使用してVshadow.exeをユーザーのコンピューターにコピーする方法

ユーザーのコンピューターでシャドウコピーを作成および管理するには、ツール vshadow.exeが必要です。 WindowsSDKから。この例では、SDK for Windows 7 x64のvshadowを使用します(私の場合、Windows7とWindows10 x64の両方で正しく機能しました)。 GPPを使用しているすべてのコンピューターの%windir%\system32にvshadow.exeをコピーします。

ヒント 次のリンクを使用してvshadow.exeをダウンロードできます: vshadow_exe_win7x64.zip

次に、[コンピューターの構成]–>[設定]–>[Windowsの設定]->[ファイル] \\ domain.loc \ SYSVOL \ domain.loc \ scripts \ vshadow.exeからvshadow.exeをコピーする新しいポリシーを作成します(ファイルは事前にここにコピーする必要があります から %windir%\ system32 \ vshadow.exe このポリシーは、1回だけ機能するように構成できます(1回適用し、再適用しないでください)。

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

すべてのボリュームのシャドウコピーを作成するPowerShellスクリプト

次に、システム内のドライブのリストを検出し、シャドウイングを有効にして、新しいVSSスナップショットを作成するためのスクリプトが必要です。次のスクリプトがあります:

$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c  $vssadminEnable
cmd /c  $vsscreatess
}

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

最初の文字列でシステム内のすべてのドライブを検索でき、次にvshadowで各ディスクのシャドウを有効にして新しいコピーを作成します。コピーはスペースの10%未満を占める必要があります。

このスクリプトをファイルvss-script.ps1に保存します また、GPPを使用してユーザーのコンピューターにコピーします。

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

VSSスナップショットを作成するためのスケジュールされたタスク

最後に行う必要があるのは、すべてのコンピューターでスケジュールされたタスクを作成して、vss-script.ps1を定期的に実行し、すべてのドライブの新しいスナップショットを作成することです。 GPPを使用してこのタスクを作成する方が簡単です。これを行うには、GPOセクションの[コンピューターの構成]->[設定]->[スケジュールされたタスク] create vssnapshot という名前で新しいスケジュールされたタスク([新規]-> [スケジュールされたタスク(少なくともWindows 7))]を作成します 、 NT AUTHORITY \ Systemとして昇格して実行する必要があります

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

タスクを毎日午後1時20分に実行する必要があるとします(ここでは、スナップショットを作成する頻度を検討する必要があります)。

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

実行するスクリプト:%windir%\System32\WindowsPowerShell\v1.0\powershell.exe

引数%windir%\system32\vss-script.ps1を使用

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

ヒント 。また、以前のVSSスナップショットを削除するには、毎週スケジュールされたタスクを提供する必要があります。これを行うには、次のコードを含む同様のスクリプトを実行する新しいスケジュールされたタスクを作成します。

$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c  $vssadminDeleteOld

VSSスナップショットから元のファイルを復元する方法

ユーザーのコンピューターがランサムウェアに感染している場合、管理者またはテクニカルサポートチームのスタッフは、スナップショットから暗号化されたドキュメントを復元できます。

次のコマンドを使用して、使用可能なすべてのスナップショットのリストを表示できます。

vssadmin.exe list shadows

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

この例では、最新のスナップショットは2016年10月6日1:33:35 AMに作成され、シャドウコピーID={6db666ac-4d42-4734-8fbb-fad64825c66c}です。

このスナップショットを読み取り専用モードで、IDによって別のシステムドライブとしてマウントします:

vshadow -el={6db666ac-4d42-4734-8fbb-fad64825c66c},Z:

ランサムウェア感染後のVSSスナップショットからの暗号化ファイルの回復

次に、ファイルエクスプローラーまたはその他のファイルマネージャーを使用して、ディスクZから元のファイルをコピーします。

スナップショットを使用してディスクをアンマウントするには:

mountvol Z:\ /D

結論

もちろん、VSSは暗号化ランサムウェアに対する保護手段ではなく、コンピューターのセキュリティに対する包括的なアプローチ(ウイルス対策ソフトウェア、SRP / AppLockerポリシー、レピュテーションフィルター、SmartScreenなど)をキャンセルするものではありません。ただし、私の意見では、ボリュームシャドウコピーのシンプルさと可用性は、暗号化されたデータを回復するこの方法の大きな利点であり、ユーザーのコンピューターにマルウェアが侵入した場合に役立つ可能性があります


  1. システムから Redl Ransomware やその他のマルウェアを削除する方法

    Redl ランサムウェアとは? Redl Ransomware は、感染したすべてのファイルを暗号化またはロックして、ユーザーが自分のファイルにアクセスできないようにするコンピューター ウイルスの一種です。これは、サイバー犯罪者がユーザーに身代金を要求して、ユーザーが自分のファイルにアクセスできるようにするために行われます。身代金は、通常、追跡不可能な暗号通貨で要求されます。ユーザーが身代金を支払ったとしても、ユーザーがファイルのロックを解除できるという保証はありません。 恐ろしく聞こえるかもしれませんが、実際には、コンピュータがインターネットに接続されていると、アドウェア、スパイウェア、

  2. 空の後にごみ箱から削除されたファイルを復元する方法

    ごみ箱は、すべてのバージョンの Windows で使用できる基本的なツールの 1 つです。キーボードの Delete キーを押してファイルを削除すると、ファイルはごみ箱に移動します。ごみ箱を空にしない限り、データはそこに残ります。この投稿では、ファイルを完全に削除した場合やごみ箱を空にした場合に備えて、削除されたファイルを手動で、またはサードパーティ製ソフトウェアを使用して空にした後にごみ箱から復元する方法をリストしました. 空の後にごみ箱から削除されたファイルを回復する方法 Shift キーを押しながら [削除] ボタンを押した場合、またはごみ箱を空にした場合 の場合、ファイルを手動で復元