Der Impfstoff gegen Raccine Ransomware verhindert jetzt das Löschen der Volumenschattenkopie

Mark October 5, 2020

Florian Roth hat den Ransomware-Impfstoff „Raccine“ veröffentlicht, der verhindert, dass Ransomware Volume Shadow-Kopien löscht.

Shadow Copy-Snapshots für System- und Datendateien werden täglich von Windows als Backups erstellt und gespeichert. Benutzer können diese Snapshots verwenden, um Dateien wiederherzustellen, die sie versehentlich geändert oder gelöscht haben.

In Fällen mit Ransomware-Angriffen löschen diese Viren zunächst die Schattenkopien, damit die Opfer diese Funktion nicht verwenden können, um die Dateien kostenlos wiederherzustellen. Sie führen bestimmte Befehle aus, um die genannten Sicherungen von Windows zu löschen. Eine davon ist die Verwendung des folgenden Befehls vssadmi.exe:

vssadmin Schatten löschen / alle / leise

Der in dieser Woche veröffentlichte Impfstoff überwacht das Löschen des Schattenvolumens mit dem Befehl vssadmin.exe. Wie die GitHub-Seite von Raccine erklärt,

“Wir sehen, dass Ransomware ziemlich oft alle Schattenkopien mit vssadmin löscht. Was wäre, wenn wir diese Anforderung einfach abfangen und den Aufrufprozess abbrechen könnten? Versuchen wir, einen einfachen Impfstoff zu erstellen.”

Raccine registriert eine ausführbare Datei raccine.exe als Debugger für die Datei vassadmin.exe mithilfe des Windows-Registrierungsschlüssels für Ausführungsoptionen für Bilddateien.

Sobald dieser Vorgang abgeschlossen ist, kann Racine überprüfen, ob vssadmin versucht, Schattenkopien zu löschen. Wenn festgestellt wird, dass der Prozess vssadmin delete verwendet, wird der Prozess automatisch beendet.

Einige moderne Ransomware-Familien verwenden andere unten aufgeführte Befehle zum Löschen von Schattenkopien:

et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}

WMIC.exe shadowcopy delete / nointeractive

Raccine funktioniert nicht für solche Malware, da diese keine vssadmin.exe-Befehle verwenden. Es können jedoch in Zukunft die folgenden Befehle hinzugefügt werden.

Hier ist darauf hinzuweisen, dass das Raccine-Programm möglicherweise einen legitimen Prozess beendet, der vssadmin.exe als Teil seiner Sicherungsroutinen verwendet. Roth hob diesen Punkt hervor und sagte, dass die Raccine bald bestimmte Fähigkeiten zulassen wird, die das Umgehen bestimmter Programme ermöglichen, so dass keine Dateien versehentlich beendet werden.

 Die Schritte zum Herunterladen von Raccine:

  • Laden Sie Raccine.exe herunter und kopieren Sie es mithilfe der Eingabeaufforderung mit erhöhten Rechten in den Ordner C: \ Windows
  • Laden Sie dann die Registrierungsdatei raccine-reg-patch.reg herunter und doppelklicken Sie darauf. Wenn Sie die Eingabeaufforderung sehen, dass der Inhalt in der Registrierung zusammengeführt werden soll, lassen Sie dies zu.

Raccine ist jetzt als Debugger für vssadmin.exe festgelegt und überwacht die Volume Shadow Copies auf Löschversuche.

More Stories

Windows 11 Update: Verabschieden Sie sich von diesen Funktionen

Mark June 25, 2021

Massachusetts MassNotify Android COVID-App von Google erzwungen

Mark June 21, 2021

Was ist neu bei Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

So entfernen Davonevur.exe-Trojaner

Mark April 26, 2024

So entfernen Mytiris.com vom PC

Mark April 26, 2024

So entfernen ATCK Ransomware und stellen .ATCK-Dateien wieder her

Mark April 26, 2024

So entfernen Beast Ransomware und stellen .BEAST-Dateien wieder her

Mark April 26, 2024

So entfernen BlackSkull Ransomware und stellen .BlackSkull-Dateien wieder her

Mark April 26, 2024