র্যানসমওয়্যার সংক্রমণের পরে VSS স্ন্যাপশট থেকে এনক্রিপ্ট করা ফাইলগুলি পুনরুদ্ধার করা

আমরা র‍্যানসমওয়্যারের বিরুদ্ধে পাল্টা ব্যবস্থা সম্পর্কিত নিবন্ধগুলির সিরিজ নিয়ে এগিয়ে যাচ্ছি। গতবার আমরা FSRM ব্যবহার করে Windows ফাইল সার্ভারগুলিতে এনক্রিপশন ransomware.on এর বিরুদ্ধে সুরক্ষার একটি সহজ উপায় বিবেচনা করেছি৷ আজ আমরা কীভাবে আপনার ফাইলগুলিকে সহজেই পুনরুদ্ধার করতে পারি সে সম্পর্কে কথা বলব যদি কম্পিউটারে ইতিমধ্যেই র্যানসমওয়্যার প্রবেশ করে থাকে এবং ব্যবহারকারীর নথিগুলি এনক্রিপ্ট করা থাকে।

একটি এনক্রিপ্টিং র‍্যানসমওয়্যার দ্বারা সংক্রামিত হওয়ার পরে আসল ফাইলগুলি ফিরে পাওয়ার সবচেয়ে সহজ উপায় হল সেগুলিকে একটি ব্যাকআপ থেকে পুনরুদ্ধার করা। আপনি আপনার ফাইল সার্ভারগুলিতে একটি কেন্দ্রীভূত ব্যাকআপ সংগঠিত করতে পারেন, তবে ব্যবহারকারীর কম্পিউটারে ডেটা ব্যাকআপ করা আরও কঠিন। সৌভাগ্যবশত, উইন্ডোজের একটি সমন্বিত ব্যাকআপ প্রক্রিয়া রয়েছে — ছায়া কপি ভলিউম শ্যাডো কপি সার্ভিস (VSS) দ্বারা তৈরি .

VSS স্ন্যাপশটগুলি থেকে ফাইলগুলির পূর্ববর্তী সংস্করণগুলি পুনরুদ্ধার করা সম্ভব করার জন্য, নিম্নলিখিত প্রয়োজনীয়তাগুলি পূরণ করতে হবে:

• সুরক্ষিত ভলিউমের জন্য VSS সক্রিয় করতে হবে
• স্ন্যাপশট (অন্তত 10-20%) সংরক্ষণ করার জন্য আপনার ডিস্কে পর্যাপ্ত ফাঁকা জায়গা থাকা উচিত
• একজন ব্যবহারকারীর কম্পিউটারে স্থানীয় প্রশাসক বিশেষাধিকার থাকা উচিত নয় (সর্বাধিক আধুনিক এনক্রিপশন ম্যালওয়্যার যখন এলিভেটেড চালানোর সময় সমস্ত উপলব্ধ VSS স্ন্যাপশট মুছে ফেলে), এবং ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ (UAC) সক্ষম করতে হবে

আসুন এমন একটি প্রক্রিয়া বিবেচনা করি যা সক্রিয় ডিরেক্টরি ডোমেন পরিবেশে স্ন্যাপশট তৈরির নীতি কেন্দ্রীয়ভাবে পরিচালনা করতে এবং এনক্রিপশন র্যানসমওয়্যার আক্রমণের পরে সহজেই মূল ফাইলগুলি পুনরুদ্ধার করতে দেয়৷

বিষয়বস্তু:

• জিপিও ব্যবহার করে ডোমেন কম্পিউটারে ভিএসএস কীভাবে সক্ষম করবেন
• জিপিও ব্যবহার করে ব্যবহারকারী কম্পিউটারে কীভাবে Vshadow.exe কপি করবেন
• সকল ভলিউমের শ্যাডো কপি তৈরি করার জন্য PowerShell স্ক্রিপ্ট
• ভিএসএস স্ন্যাপশট তৈরি করার জন্য নির্ধারিত কাজ
• ভিএসএস স্ন্যাপশট থেকে আসল ফাইলগুলি কীভাবে পুনরুদ্ধার করবেন
• উপসংহার

জিপিও ব্যবহার করে ডোমেন কম্পিউটারে ভিএসএস কীভাবে সক্ষম করবেন

প্রথমত, ডোমেন কম্পিউটারে ভলিউম শ্যাডো কপি (VSS) পরিষেবা সক্ষম করতে একটি গ্রুপ নীতি তৈরি করুন। এটি করতে, GPMC.msc-এ কনসোল VSSPolicy নামে একটি নতুন GPO অবজেক্ট তৈরি করুন এবং এটি ব্যবহারকারী কম্পিউটার ধারণকারী OU-তে বরাদ্দ করুন।

এখন আপনার জিপিও সম্পাদনা করুন। কম্পিউটার কনফিগারেশন->উইন্ডোজ সেটিংস->নিরাপত্তা সেটিংস->সিস্টেম পরিষেবা -এ পরিষেবার তালিকায় ভলিউম শ্যাডো কপি খুঁজুন এবং স্বয়ংক্রিয় সেট করুন স্টার্ট টাইপ।

GPO ব্যবহার করে ব্যবহারকারী কম্পিউটারে Vshadow.exe কিভাবে কপি করবেন

ব্যবহারকারী কম্পিউটারে শ্যাডো কপি তৈরি এবং পরিচালনা করতে, আমাদের একটি টুল দরকার vshadow.exe উইন্ডোজ এসডিকে থেকে। এই উদাহরণে, আমরা Windows 7 x64 এর জন্য SDK থেকে vshadow ব্যবহার করব (আমার ক্ষেত্রে এটি Windows 7 এবং Windows 10 x64 উভয় ক্ষেত্রেই সঠিকভাবে কাজ করেছে)। GPP ব্যবহার করে সমস্ত কম্পিউটারে %windir%\system32 এ vshadow.exe কপি করুন।

তারপরে কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> উইন্ডোজ সেটিংস -> ফাইলগুলি একটি নতুন নীতি তৈরি করুন যা \\domain.loc\SYSVOL\domain.loc\scripts\vshadow.exe থেকে vshadow.exe কপি করে (ফাইলটি আগে এখানে কপি করা আবশ্যক) থেকে %windir%\system32\vshadow.exe এই নীতিটি কনফিগার করা যেতে পারে যাতে এটি শুধুমাত্র একবার কাজ করবে (একবার আবেদন করুন এবং পুনরায় আবেদন করবেন না)।

সব ভলিউমের শ্যাডো কপি তৈরি করতে পাওয়ারশেল স্ক্রিপ্ট

এর পরে, সিস্টেমে ড্রাইভের তালিকা সনাক্ত করতে, ছায়া সক্ষম করতে এবং একটি নতুন VSS স্ন্যাপশট তৈরি করতে আমাদের একটি স্ক্রিপ্ট দরকার। আমি নিম্নলিখিত স্ক্রিপ্ট পেয়েছি:

$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c  $vssadminEnable
cmd /c  $vsscreatess
}

প্রথম স্ট্রিং সিস্টেমে সমস্ত ড্রাইভ খুঁজে পেতে অনুমতি দেয়, এবং তারপর vshadow প্রতিটি ডিস্কের জন্য ছায়া সক্ষম করে এবং একটি নতুন অনুলিপি তৈরি করে। অনুলিপিগুলি 10% এর কম স্থান দখল করা উচিত।

এই স্ক্রিপ্টটি vss-script.ps1 ফাইলে সংরক্ষণ করুন এবং জিপিপি ব্যবহার করে ব্যবহারকারী কম্পিউটারে এটি অনুলিপি করুন।

ভিএসএস স্ন্যাপশট তৈরি করার জন্য নির্ধারিত কাজ

আপনাকে যা করতে হবে তা হল নিয়মিতভাবে vss-script.ps1 চালানোর জন্য সমস্ত কম্পিউটারে একটি নির্ধারিত টাস্ক তৈরি করা এবং সমস্ত ড্রাইভের জন্য একটি নতুন  স্ন্যাপশট তৈরি করা। GPP ব্যবহার করে এই টাস্ক তৈরি করা সহজ। এটি করতে, GPO বিভাগে কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> নির্ধারিত কাজগুলি vssnapshot তৈরি করুন নামে একটি নতুন নির্ধারিত কাজ (নতুন-> নির্ধারিত কাজ (অন্তত Windows 7)) তৈরি করুন , যেটিকে অবশ্যই NT AUTHORITY\System হিসাবে উন্নত করতে হবে ।

ধরুন, টাস্কটি প্রতিদিন 1.20 PM-এ চালাতে হবে (এখানে আপনাকে ভাবতে হবে যে আপনি কত ঘন ঘন স্ন্যাপশট তৈরি করতে চান)।

যে স্ক্রিপ্টটি চালানো হবে:%windir%\System32\WindowsPowerShell\v1.0\powershell.exe

যুক্তি দিয়ে %windir%\system32\vss-script.ps1

$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c  $vssadminDeleteOld

ভিএসএস স্ন্যাপশট থেকে আসল ফাইলগুলি কীভাবে পুনরুদ্ধার করবেন

যদি ব্যবহারকারীর কম্পিউটার র্যানসমওয়্যার দ্বারা সংক্রামিত হয়, তাহলে প্রশাসক বা প্রযুক্তি সহায়তা দলের কর্মীরা স্ন্যাপশট থেকে এনক্রিপ্ট করা নথি পুনরুদ্ধার করতে পারেন।

এই কমান্ডটি ব্যবহার করে সমস্ত উপলব্ধ স্ন্যাপশটের তালিকা প্রদর্শন করা যেতে পারে:

vssadmin.exe list shadows

আমাদের উদাহরণে, সর্বশেষ স্ন্যাপশটটি 10/6/2016 1:33:35 AM এ তৈরি করা হয়েছিল এবং এতে শ্যাডো কপি আইডি ={6db666ac-4d42-4734-8fbb-fad64825c66c} আছে।

এই স্ন্যাপশটটিকে শুধুমাত্র পঠন মোডে একটি পৃথক সিস্টেম ড্রাইভ হিসাবে এটির ID দ্বারা মাউন্ট করুন:

vshadow -el={6db666ac-4d42-4734-8fbb-fad64825c66c},Z:

এখন, ফাইল এক্সপ্লোরার বা অন্য কোন ফাইল ম্যানেজার ব্যবহার করে, ডিস্ক Z:থেকে আসল ফাইলগুলি কপি করুন।

স্ন্যাপশট দিয়ে ডিস্ক আনমাউন্ট করতে:

mountvol Z:\ /D

উপসংহার

অবশ্যই, ভিএসএস এনক্রিপশন র‍্যানসমওয়্যারের বিরুদ্ধে সুরক্ষার মাধ্যম নয় এবং কম্পিউটার নিরাপত্তার (অ্যান্টিভাইরাস সফ্টওয়্যার, এসআরপি/অ্যাপলকার পলিসি, রেপুটেশন ফিল্টার, স্মার্টস্ক্রিন ইত্যাদি) একটি বিস্তৃত পদ্ধতি বাতিল করে না। যাইহোক, আমার মতে, ভলিউম শ্যাডো কপি করার সরলতা এবং প্রাপ্যতা এনক্রিপ্ট করা ডেটা পুনরুদ্ধার করার এই পদ্ধতির একটি বড় সুবিধা, যা ব্যবহারকারীর কম্পিউটারে ম্যালওয়ারের অনুপ্রবেশের ক্ষেত্রে কার্যকর হতে পারে