Ransomware e share di rete: come identificare un infezione in anticipo

ransdetectservicecover - Ransomware e share di rete: come identificare un infezione in anticipo

GitHub è una fonte inesauribile di ottimi strumenti, uno di questi è RansomwareDetectionService, il quale serve a monitorare gli share di rete per bloccare eventuali attacchi ransomware.

Vediamo come funziona

Dedicato agli amministratori di rete

Questo strumento parte grazie ad un progetto GitHub nato per aiutare gli amministratori di sistema a tener monitorate le risorse di rete da infezioni da parte dei ransomware.

Ad

Che una risorsa di rete come un NAS o simili venga infettato è l’incubo di ogni amministratore: infatti vorrebbe dire la perdita di centinaia di GB di preziosi dati, backup o quant’altro.

Spesso ci si accorge di un infezione ransomware quando il danno è già stato fatto: infatti, in particolare per i NAS o simili, l’infezione può essere silente e l’utente se ne accorge solo quando cerca di accedere alla risorsa.

RansomwareDetectionService si propone proprio per aiutare gli amministratori i quali, grazie a questo tool, monitorerà gli share di rete e quando rileverà comportamenti anomali negli stessi invierà una notifica anche via mail all’amministratore il quale potrà intervenire prontamente per interrompere lo share di rete e spegnere il sistema infettato.

ransdetectservice - Ransomware e share di rete: come identificare un infezione in anticipo
Interfaccia principale dello strumento

In alternativa è possibile far in modo che lo strumento interrompa lo share di rete infetto, inserendo nella colonna CommandProgram lo script
StopRansomwareInfectedComputerPublic.ps1 residente nella cartella stessa del tool. Per ulteriori info vedere qui

Nello specifico lo strumento permette di:

  • monitorare le risorse di rete
  • ricevere notifiche in caso di comportamenti anomali, come modifica di nomefile, estensione ecc
  • controllare l’integrità dei file nello share
  • quali file sono stati creati e modificati dall’infezione
  • possibilità di interrompere lo share grazie al pulsante “Stop File Sharing”
Leggi  Bloccato il rilascio della versione 1809 di Windows 10

Per informazioni in merito la configurazione (consigliamo di eseguire alcuni test su macchine muletto o virtuali) seguire la pagina GitHub.

Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
profilo01 80x80 - Ransomware e share di rete: come identificare un infezione in anticipo
Seguimi
(Visited 47 times, 1 visits today)
Ad

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *