Le vaccin contre le ransomware contre le raccin empêche désormais la suppression du cliché instantané de volume

Mark October 5, 2020

Florian Roth a publié le vaccin contre le ransomware «Raccine» qui empêchera le ransomware de supprimer les clichés instantanés de volume.

Des instantanés de cliché instantané pour les fichiers système et de données sont créés et stockés quotidiennement sous forme de sauvegardes par Windows. Les utilisateurs peuvent utiliser ces instantanés pour récupérer des fichiers qu’ils ont modifiés ou supprimés par erreur.

Dans les cas d’attaque de ransomware, la première chose que font ces virus est de supprimer les clichés instantanés afin que les victimes ne puissent pas utiliser cette fonctionnalité pour récupérer les fichiers gratuitement. Ils exécutent certaines commandes pour supprimer lesdites sauvegardes de Windows. L’une d’elles consiste à utiliser la commande vssadmi.exe suivante:

vssadmin supprimer les ombres / tout / silencieux

Le vaccin publié cette semaine surveillera la suppression du volume Shadow à l’aide de la commande vssadmin.exe. Comme l’explique la page GitHub de Raccine,

“Nous voyons les ransomwares supprimer assez souvent tous les clichés instantanés à l’aide de vssadmin. Et si nous pouvions simplement intercepter cette demande et tuer le processus d’appel? Essayons de créer un vaccin simple.”

Raccine fonctionne en enregistrant un exécutable raccine.exe en tant que débogueur pour le fichier vassadmin.exe à l’aide de la clé de registre Windows Options d’exécution du fichier image.

Une fois ce processus terminé, Racine peut vérifier si vssadmin tente de supprimer les clichés instantanés. Dans le cas où il détecte que le processus utilise vssadmin delete, il terminera automatiquement le processus.

Certaines familles de ransomwares modernes utilisent d’autres commandes répertoriées ci-dessous pour la suppression des clichés instantanés:

et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}

Suppression de clichés instantanés WMIC.exe / non interactifs

Raccine ne fonctionnera pas pour de tels logiciels malveillants car ceux-ci n’utilisent pas les commandes vssadmin.exe. Cependant, les commandes suivantes pourront être ajoutées à l’avenir.

Ici, il convient de souligner que le programme Raccine peut mettre fin à un processus légitime qui utilise vssadmin.exe dans le cadre de ses routines de sauvegarde. Roth soulignant ce point, a déclaré que le Raccine permettra bientôt une certaine capacité qui permet à certains programmes de contourner afin qu’aucun fichier ne soit interrompu par erreur.

 Les étapes pour télécharger Raccine:

  • Téléchargez Raccine.exe et copiez-le dans le dossier C: \ Windows à l’aide d’une invite de commande élevée
  • Ensuite, téléchargez le fichier de registre raccine-reg-patch.reg et double-cliquez dessus. Lorsque vous voyez l’invite indiquant fusionner le contenu dans le registre, autorisez-le à le faire.

Raccine est maintenant défini comme débogueur pour vssadmin.exe et surveillera les clichés instantanés de volume pour les tentatives de suppression.

More Stories

Mise à jour Windows 11 : Dites adieu à ces fonctionnalités

Mark June 25, 2021

Massachusetts MassNotify Application Android COVID forcée par Google

Mark June 21, 2021

Quoi de neuf avec Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Comment supprimer Precludestore.com du PC

Mark April 20, 2024

Comment supprimer ClipWallet Clipper

Mark April 20, 2024

Comment supprimer IRIS Ransomware et récupérer des fichiers fermé à clé

Mark April 19, 2024

Comment supprimer Rincrypt 2.0 Ransomware et récupérer des fichiers fermé à clé

Mark April 19, 2024

Comment supprimer Webvalid.co.in du PC

Mark April 19, 2024