La vacuna ransomware Raccine ahora evita que se elimine la instantánea de volumen
Florian Roth lanzó la vacuna ransomware “Raccine” que evitará que el ransomware elimine Volume Shadow Copies.
Windows crea y almacena diariamente instantáneas de instantáneas de archivos de datos y del sistema como copias de seguridad. Los usuarios pueden usar estas instantáneas para recuperar archivos que cambiaron o eliminaron por error.
En los casos de ataque de ransomware, lo primero que hacen estos virus es eliminar las instantáneas para que las víctimas no puedan utilizar esta función para recuperar los archivos de forma gratuita. Ejecutan ciertos comandos para eliminar dichas copias de seguridad de Windows. Uno de ellos es utilizar el siguiente comando vssadmi.exe:
vssadmin eliminar sombras / todo / silencio
La vacuna lanzada esta semana controlará la eliminación del volumen de sombra mediante el comando vssadmin.exe. Como explica la página de GitHub de Raccine,
“Vemos que el ransomware elimina todas las instantáneas usando vssadmin con bastante frecuencia. ¿Y si pudiéramos interceptar esa solicitud y eliminar el proceso de invocación? Intentemos crear una vacuna simple”.
Raccine funciona registrando un ejecutable raccine.exe como depurador para el archivo vassadmin.exe con la ayuda de la clave de registro de Windows de Opciones de ejecución de archivos de imagen.
Una vez que se completa este proceso, Racine puede verificar si vssadmin intenta eliminar las instantáneas. En caso de que detecte que el proceso está usando vssadmin delete, terminará automáticamente el proceso.
Algunas familias modernas de ransomware utilizan otros comandos que se enumeran a continuación para eliminar las instantáneas:
et-WmiObject Win32_Shadowcopy | Para cada objeto {$ _. Delete ();}
WMIC.exe shadowcopy eliminar / nointeractive
Raccine no funcionará para este tipo de malware porque estos no utilizan comandos vssadmin.exe. Sin embargo, se pueden agregar los siguientes comandos en el futuro.
Aquí, es importante señalar que el programa Raccine puede terminar un proceso legítimo que usa vssadmin.exe como parte de sus rutinas de respaldo. Roth destacando este punto, dijo, pronto el Raccine permitirá cierta capacidad que permite que ciertos programas se omitan para que ningún archivo sea terminado por error.
Los pasos para descargar Raccine:
- Descargue Raccine.exe y cópielo en la carpeta C: \ Windows mediante el símbolo del sistema elevado
- Luego descargue el archivo de registro raccine-reg-patch.reg y haga doble clic en él. Cuando vea el mensaje que dice fusionar el contenido en el Registro, permítale hacerlo.
Raccine ahora está configurado como depurador para vssadmin.exe y supervisará las instantáneas de volumen para detectar intentos de eliminación.