Le vaccin contre le ransomware contre le raccin empêche désormais la suppression du cliché instantané de volume
Florian Roth a publié le vaccin contre le ransomware «Raccine» qui empêchera le ransomware de supprimer les clichés instantanés de volume.
Des instantanés de cliché instantané pour les fichiers système et de données sont créés et stockés quotidiennement sous forme de sauvegardes par Windows. Les utilisateurs peuvent utiliser ces instantanés pour récupérer des fichiers qu’ils ont modifiés ou supprimés par erreur.
Dans les cas d’attaque de ransomware, la première chose que font ces virus est de supprimer les clichés instantanés afin que les victimes ne puissent pas utiliser cette fonctionnalité pour récupérer les fichiers gratuitement. Ils exécutent certaines commandes pour supprimer lesdites sauvegardes de Windows. L’une d’elles consiste à utiliser la commande vssadmi.exe suivante:
vssadmin supprimer les ombres / tout / silencieux
Le vaccin publié cette semaine surveillera la suppression du volume Shadow à l’aide de la commande vssadmin.exe. Comme l’explique la page GitHub de Raccine,
“Nous voyons les ransomwares supprimer assez souvent tous les clichés instantanés à l’aide de vssadmin. Et si nous pouvions simplement intercepter cette demande et tuer le processus d’appel? Essayons de créer un vaccin simple.”
Raccine fonctionne en enregistrant un exécutable raccine.exe en tant que débogueur pour le fichier vassadmin.exe à l’aide de la clé de registre Windows Options d’exécution du fichier image.
Une fois ce processus terminé, Racine peut vérifier si vssadmin tente de supprimer les clichés instantanés. Dans le cas où il détecte que le processus utilise vssadmin delete, il terminera automatiquement le processus.
Certaines familles de ransomwares modernes utilisent d’autres commandes répertoriées ci-dessous pour la suppression des clichés instantanés:
et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
Suppression de clichés instantanés WMIC.exe / non interactifs
Raccine ne fonctionnera pas pour de tels logiciels malveillants car ceux-ci n’utilisent pas les commandes vssadmin.exe. Cependant, les commandes suivantes pourront être ajoutées à l’avenir.
Ici, il convient de souligner que le programme Raccine peut mettre fin à un processus légitime qui utilise vssadmin.exe dans le cadre de ses routines de sauvegarde. Roth soulignant ce point, a déclaré que le Raccine permettra bientôt une certaine capacité qui permet à certains programmes de contourner afin qu’aucun fichier ne soit interrompu par erreur.
Les étapes pour télécharger Raccine:
- Téléchargez Raccine.exe et copiez-le dans le dossier C: \ Windows à l’aide d’une invite de commande élevée
- Ensuite, téléchargez le fichier de registre raccine-reg-patch.reg et double-cliquez dessus. Lorsque vous voyez l’invite indiquant fusionner le contenu dans le registre, autorisez-le à le faire.
Raccine est maintenant défini comme débogueur pour vssadmin.exe et surveillera les clichés instantanés de volume pour les tentatives de suppression.