איך לסמלץ התקפת Ransomware מבוססת PowerShell

דצמבר 26, 2016

תגיות: ,
תגובה אחת

מתקפות Ransomware הולכות וגוברות עם הזמן ואף נעשות מתוחכמות, ארגונים רבים חוששים מהאפשרות שיהיו במתקפה כזאת ולכן משקיעים מאמצים רבים במערכות ונהלים שיוכלו להגן על המשתמשים.
אחת הבעיות הנפוצות היא איך לסמלץ Ransomware בארגון ולקוות שכל המערכות יעלו על המתקפה המדומה, ישנם מספר כלים בודדים שיכולים לסמלץ מתקפת Ransomware בינהם סימולציה מבוססת PowerShell סקריפט.
כאשר Ransomware נכנס לפעולה הוא מצפין את הקבצים אך רגע לפני הצפנה הוא מבצע שינויים על אותם קבצים שהוא מצפין ומדובר על שינויים של שינוי שמות קבצים ובעיקר לסיומות וכן שינוי בקובץ עצמו ואת כל הפעולות האלה מבצע תוך פחות מדקה אחת בלבד.

איך לסמלץ Ransomware

ניתן לסמלץ אץ פעולה Ransomware בתחנת קצה ע”י סקריפט פשוט שניתן להריץ מתוך PowerShell, הסקריפט רץ יוצר קבצים, משנה את הסיומות ומוסיף תוכן לקובץ.

יש לשמור את הסקריפט לקובץ PS1

$strDir = "C:\temp\"
GCI $strDir | Remove-Item -Force
1..500 | % { $strPath = $strDir + $_ + ".txt"; "Ransomware Testing" | Out-File $strPath | Out-Null }
Measure-Command { 1..1001 | % { $strPath = $strDir + $_ + ".txt"; $strNewPath = $strPath + ".chng"; "changed" | Out-File -Append $strPath; Rename-Item -Path $strPath -NewName $strNewPath } }

  • שורה רביעית מסמלצת את המתקפה

image

הערות

  • רוב מתפקות Ransomware עובדות באופן של שינוי קבצים ושינוי סיומות
  • חשוב להרית את הסקריפט בסביבה שיכולה לזהות מתקפות (ללא מערכת אין משמעות לסימולציה)
הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. השםדצמבר 27, 2016 ב 5:00 pm

    נראה שהלולאה שרצה על 1 עד 1001 צריכה לעצור ב-500, אשמח להסבר אם לא.

    הגב