La vacuna ransomware Raccine ahora evita que se elimine la instantánea de volumen

Mark October 5, 2020

Florian Roth lanzó la vacuna ransomware “Raccine” que evitará que el ransomware elimine Volume Shadow Copies.

Windows crea y almacena diariamente instantáneas de instantáneas de archivos de datos y del sistema como copias de seguridad. Los usuarios pueden usar estas instantáneas para recuperar archivos que cambiaron o eliminaron por error.

En los casos de ataque de ransomware, lo primero que hacen estos virus es eliminar las instantáneas para que las víctimas no puedan utilizar esta función para recuperar los archivos de forma gratuita. Ejecutan ciertos comandos para eliminar dichas copias de seguridad de Windows. Uno de ellos es utilizar el siguiente comando vssadmi.exe:

vssadmin eliminar sombras / todo / silencio

La vacuna lanzada esta semana controlará la eliminación del volumen de sombra mediante el comando vssadmin.exe. Como explica la página de GitHub de Raccine,

“Vemos que el ransomware elimina todas las instantáneas usando vssadmin con bastante frecuencia. ¿Y si pudiéramos interceptar esa solicitud y eliminar el proceso de invocación? Intentemos crear una vacuna simple”.

Raccine funciona registrando un ejecutable raccine.exe como depurador para el archivo vassadmin.exe con la ayuda de la clave de registro de Windows de Opciones de ejecución de archivos de imagen.

Una vez que se completa este proceso, Racine puede verificar si vssadmin intenta eliminar las instantáneas. En caso de que detecte que el proceso está usando vssadmin delete, terminará automáticamente el proceso.

Algunas familias modernas de ransomware utilizan otros comandos que se enumeran a continuación para eliminar las instantáneas:

et-WmiObject Win32_Shadowcopy | Para cada objeto {$ _. Delete ();}

WMIC.exe shadowcopy eliminar / nointeractive

Raccine no funcionará para este tipo de malware porque estos no utilizan comandos vssadmin.exe. Sin embargo, se pueden agregar los siguientes comandos en el futuro.

Aquí, es importante señalar que el programa Raccine puede terminar un proceso legítimo que usa vssadmin.exe como parte de sus rutinas de respaldo. Roth destacando este punto, dijo, pronto el Raccine permitirá cierta capacidad que permite que ciertos programas se omitan para que ningún archivo sea terminado por error.

 Los pasos para descargar Raccine:

  • Descargue Raccine.exe y cópielo en la carpeta C: \ Windows mediante el símbolo del sistema elevado
  • Luego descargue el archivo de registro raccine-reg-patch.reg y haga doble clic en él. Cuando vea el mensaje que dice fusionar el contenido en el Registro, permítale hacerlo.

Raccine ahora está configurado como depurador para vssadmin.exe y supervisará las instantáneas de volumen para detectar intentos de eliminación.

More Stories

Actualización de Windows 11: diga adiós a estas características

Mark June 25, 2021

Aplicación COVID para Android MassNotify de Massachusetts forzada por Google

Mark June 21, 2021

Novedades de Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Cómo eliminar SyncGuide el software publicitario (Mac)

Mark April 23, 2024

Cómo eliminar SyncProgress el software publicitario (Mac)

Mark April 23, 2024

Cómo eliminar Livemarinis.net de la PC

Mark April 23, 2024

Cómo eliminar Mypricklylive.com de la PC

Mark April 23, 2024

Cómo eliminar Tepdash.com de la PC

Mark April 23, 2024