Cómo ya hemos hablado en otros post, los ransomware han tomado auge en los últimos tiempos y una vez infectados los equipos son en algunos casos imposibles de remediar, así que veremos cómo CryptoBlocker bloquea propagación de ransomware.

CryptoBlocker es un script en powershell sencillo pero bastante útil para bloquear a los usuarios infectados por distintas variantes de ransomware.

Lo ideal es instalarlo en los servidores de ficheros de tal manera que, cuando se detecte que un usuario escribe algún fichero malicioso en un recurso compartido, deniegue inmediata y automáticamente el acceso para impedir que continúe cifrando el resto.

Paso a paso lo que hace es lo siguiente:

  1. Revisa los recursos de red compartidos
  2. InstalaFile Server Resource Manager (FSRM)
  3. Crea los scripts batch/PowerShell usados por FSRM
  4. Crea un Grupo de Ficheros en FSRM que contiene los nombres de archivos y extensiones maliciosos
  5. Crear una Pantalla de Ficheros usando el grupo creado anteriormente, con notificaciones de eventos y comandos
  6. Crea Pantallas de Ficheros usando esa plantilla para cada unidad que contenga recursos de red compartidos

Recordar que este script no parará las variantes de ransomware que utilicen extensiones aleatorias ni borrará los ficheros README. También es posible utilizar el evento “Source = SRMSVC, ID = 8215” para personalizar alarmas si se dispone de un sistema de monitorización.

Evidentemente también podemos añadir más nombres de fichero / extensiones a $monitoredExtensions y volverlo a desplegar cuando sea necesario.