Windows下从文件名后缀防御勒索病毒

防御勒索病毒大体开防火墙；关闭端口：135,139,445，137,138 ；把远程桌面默认端口3389也改一下；最重要的是备份，备份，再备份。网上搜一下有很多防勒措施。今天我们聊一下从文件扩展名来防御勒索病毒。
公司有20多台服务器，其中大部分是windows系统， 近二年建的系统都用到了windows2019，原来的2012也在计划升级。除了文件服务器涉及到共享，其他的都做了相应的策略，也包括所有的用户机。
在了解勒索病毒 后发现所有的病毒都会改你的文件后缀并让你打不开， 要是不让病毒修改它，是不是可以解决这个问题？
参考了二个网站：
https://www.52pojie.cn/forum-50-1.html
https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592

做了个爬虾虫，爬了360论坛近几年勒索病毒的后缀， 并经过数据清洗，整理了一份近年来所有中标的后缀库，如下：

	def get_extension(self, page):
		res = requests.get("https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592&typeid=12418&typeid=12418&filter=typeid&t=2523368&page="+page)
		res.encoding = 'utf-8' 
		soup = BeautifulSoup(res.text,fromEncoding="gb18030")
		extension_list = []
		for a in soup.select('a[class="s xst"]'):
			a = a.get_text().encode('gb18030').strip()
			if "[\xc0\xd5\xcb\xf7\xb2\xa1\xb6\xbe\xce\xca\xcc\xe2\xb7\xb4\xc0\xa1]" not in a:
				aname = self.str_split(a)
				if aname:
					extension_list.append(aname)
		return extension_list
		

	def str_split(self,str):
		cop = re.compile("[^\u4e00-\u9fa5^a-z^A-Z^0-9.]")
		return cop.sub('', str)

*.pisca
*.magniber
*.cc1h
*.xmfzfu1
*.koti
*.stopv2
*.pgcrypt
*.a21wv41d
*.aolcom
*.wig3mdxo7
*.jpg
*.orkf
*.npsk
*.6ae82c115
*.fftwshjb
*.2azgf6y
........

得到了大约1000多条扩展名，用PowerShell->New-FsrmFileGroup 把它批量加到windows文件服务器资源管理器上:

遇到不确定的后缀怎么办？ 总不能禁用pdf吧， 得从id, qq, @入手，遇到这种名称的文件名都给拒掉。手工在管理器上加上

一些常用的规则：

*Globeimposter*
*NEMTY*
*Alpha*
*readme*
*decrypt*
*helpoperator*
*payfast*
*key*
*protonmail*
*foxmail*
*@*
*.com*
*.cc*
*email*
*files*
*lock*
*help*
*btc*
*bit*
*id-*
*id_*
*id[*
*.id*

可惜不支持单个通配符，或正则表达式。

设置好了后， 只要触发了规则，系统自动拒绝修改文件名，效果如下:

这样连服务器管理员都改不了后缀， 病毒也改不了后缀， 实际上一些专业的存储设备也有自已的病毒库，原理都差不多。

以上适用于文件服务器，对于数据库服务器/图文件服务器更简单，只有固定几个格式的文件，设置反向过滤就好，不用像我那样做勒索库。 我有个代码服务器，里面存有python,c#等几种语言的代码， 只设置一些常用的扩展名就好，其他的一律拒绝