Der Impfstoff gegen Raccine Ransomware verhindert jetzt das Löschen der Volumenschattenkopie
Florian Roth hat den Ransomware-Impfstoff „Raccine“ veröffentlicht, der verhindert, dass Ransomware Volume Shadow-Kopien löscht.
Shadow Copy-Snapshots für System- und Datendateien werden täglich von Windows als Backups erstellt und gespeichert. Benutzer können diese Snapshots verwenden, um Dateien wiederherzustellen, die sie versehentlich geändert oder gelöscht haben.
In Fällen mit Ransomware-Angriffen löschen diese Viren zunächst die Schattenkopien, damit die Opfer diese Funktion nicht verwenden können, um die Dateien kostenlos wiederherzustellen. Sie führen bestimmte Befehle aus, um die genannten Sicherungen von Windows zu löschen. Eine davon ist die Verwendung des folgenden Befehls vssadmi.exe:
vssadmin Schatten löschen / alle / leise
Der in dieser Woche veröffentlichte Impfstoff überwacht das Löschen des Schattenvolumens mit dem Befehl vssadmin.exe. Wie die GitHub-Seite von Raccine erklärt,
“Wir sehen, dass Ransomware ziemlich oft alle Schattenkopien mit vssadmin löscht. Was wäre, wenn wir diese Anforderung einfach abfangen und den Aufrufprozess abbrechen könnten? Versuchen wir, einen einfachen Impfstoff zu erstellen.”
Raccine registriert eine ausführbare Datei raccine.exe als Debugger für die Datei vassadmin.exe mithilfe des Windows-Registrierungsschlüssels für Ausführungsoptionen für Bilddateien.
Sobald dieser Vorgang abgeschlossen ist, kann Racine überprüfen, ob vssadmin versucht, Schattenkopien zu löschen. Wenn festgestellt wird, dass der Prozess vssadmin delete verwendet, wird der Prozess automatisch beendet.
Einige moderne Ransomware-Familien verwenden andere unten aufgeführte Befehle zum Löschen von Schattenkopien:
et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy delete / nointeractive
Raccine funktioniert nicht für solche Malware, da diese keine vssadmin.exe-Befehle verwenden. Es können jedoch in Zukunft die folgenden Befehle hinzugefügt werden.
Hier ist darauf hinzuweisen, dass das Raccine-Programm möglicherweise einen legitimen Prozess beendet, der vssadmin.exe als Teil seiner Sicherungsroutinen verwendet. Roth hob diesen Punkt hervor und sagte, dass die Raccine bald bestimmte Fähigkeiten zulassen wird, die das Umgehen bestimmter Programme ermöglichen, so dass keine Dateien versehentlich beendet werden.
Die Schritte zum Herunterladen von Raccine:
- Laden Sie Raccine.exe herunter und kopieren Sie es mithilfe der Eingabeaufforderung mit erhöhten Rechten in den Ordner C: \ Windows
- Laden Sie dann die Registrierungsdatei raccine-reg-patch.reg herunter und doppelklicken Sie darauf. Wenn Sie die Eingabeaufforderung sehen, dass der Inhalt in der Registrierung zusammengeführt werden soll, lassen Sie dies zu.
Raccine ist jetzt als Debugger für vssadmin.exe festgelegt und überwacht die Volume Shadow Copies auf Löschversuche.