[CRYPTOLOCKER] - Script pour empêcher la modif des fichiers ciblés ?

- Script pour empêcher la modif des fichiers ciblés ? [CRYPTOLOCKER] - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 06-12-2016 à 10:04:02    

Bonjour, étant confronté de plus en plus souvent à des Ransomwares de type Cryptolocker je me demandais si parmi vous quelqu'un  
connaitrait un script/daemon (ou aurait les connaissances pour en écrire un) qui pourrait vérifier les accès en écriture/modification sur un dossier/volume ?
 
les cryptolockers une fois la machine hôte vérolée, va encrypter/locker les fichiers sur la machine et sur les lecteurs réseaux mappés,
une fois les fichiers cibles identifiés le ransomware va donc les modifier/renommer/crypter
 
y'a-t-il moyen de faire un script qui détecterait un nombre important (à définir dans l'idéal) de renommage/modification de fichiers ?
dans l'idéal ce script pourrait lancer une coupure réseau (genre service smb stop) afin de limiter la casse, c'est essentiellement côté lecteurs mappés (via samba) que je voudrais mettre en place cette "protection",
le côté protection du poste de travail (sous Windows) ne m'importe pas.
 
avez vous connaissance d'un utilitaire/script de la sorte ?
éventuellement quelqu'un ayant les connaissances pour en bricoler un ou me guider ? (sachant que je suis proche du néant en niveau codage bash  :??: )
merci d'avance ;)


Message édité par kgm_kaoss le 06-12-2016 à 15:31:00

---------------
>-----> Ma galerie Youpic <-----<
Reply

Marsh Posté le 06-12-2016 à 10:04:02   

Reply

Marsh Posté le 12-12-2016 à 12:08:18    

Tu peux partir d'outils comme inotify ou fschange (ce dernier nécessite de patcher le kernel) pour détecter les modifs dans une arborescence, mais il faudra quand même coder un script autour pour la partie seuil d'alerte et cie.
 
Si tu ne l'as pas encore fait je te recommande de mettre en place des snapshots réguliers sur les partages concernés pour minimiser les pertes de données.


---------------
Topic des restos / Topic des boutiques gastronomiques
Reply

Marsh Posté le 14-12-2016 à 11:57:19    

iwatch a l'air pas mal. Si j'ai bien compris c'est un programme Perl, qui utilise inotify pour exécuter des actions configurées par l'utilisateur, dès qu'il détecte une modification du système de fichiers.


Message édité par Profil supprimé le 17-12-2016 à 17:54:01
Reply

Marsh Posté le 16-12-2016 à 22:25:42    

fail2ban + module samba vfs full_audit

Reply

Marsh Posté le 21-12-2016 à 17:45:08    

C'est quoi l'interet de fail2ban ici ?


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 21-12-2016 à 17:49:28    

Bloquer automatiquement l'IP qui modifie trop de fichiers (ici un poste client infecté) ?


---------------
Topic des restos / Topic des boutiques gastronomiques
Reply

Marsh Posté le 21-12-2016 à 18:01:21    

fdaniel a écrit :

Bloquer automatiquement l'IP qui modifie trop de fichiers (ici un poste client infecté) ?


 
si il accède correctement au fichier, il n'y a pas fail, donc pas ban [:spamafote]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 21-12-2016 à 19:07:57    

black_lord a écrit :


 
si il accède correctement au fichier, il n'y a pas fail, donc pas ban [:spamafote]


 
S'il renomme/créer des fichiers en .ext , il est ban.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed