Il vaccino Ransomware Raccine ora impedisce la cancellazione della copia replicata del volume

Mark October 5, 2020

Florian Roth ha rilasciato il vaccino ransomware “Raccine” che impedirà al ransomware di eliminare le copie shadow del volume.

Gli snapshot della copia shadow per i file di sistema e di dati vengono creati e archiviati come backup da Windows su base giornaliera. Gli utenti possono utilizzare queste istantanee per recuperare file modificati o eliminati per errore.

Nei casi di attacco ransomware, la prima cosa che fanno questi virus è eliminare le copie shadow in modo che le vittime non possano utilizzare questa funzione per recuperare i file gratuitamente. Eseguono determinati comandi per eliminare i suddetti backup da Windows. Uno di questi è utilizzare il seguente comando vssadmi.exe:

vssadmin elimina ombre / tutto / silenzioso

Il vaccino rilasciato questa settimana monitorerà l’eliminazione del volume Shadow utilizzando il comando vssadmin.exe. Come spiega la pagina GitHub di Raccine,

“Vediamo abbastanza spesso ransomware eliminare tutte le copie shadow utilizzando vssadmin. E se potessimo semplicemente intercettare quella richiesta e terminare il processo di invocazione? Proviamo a creare un semplice vaccino”.

Raccine funziona registrando un eseguibile raccine.exe come debugger per il file vassadmin.exe con l’aiuto della chiave di registro di Windows Opzioni di esecuzione file immagine.

Una volta completato questo processo, Racine può verificare se vssadmin tenta di eliminare le copie shadow. Nel caso in cui rilevi che il processo utilizza vssadmin delete, terminerà automaticamente il processo.

Alcune moderne famiglie di ransomware utilizzano altri comandi elencati di seguito per l’eliminazione delle copie shadow:

et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}

WMIC.exe shadowcopy elimina / nointeractive

Raccine non funzionerà con tali malware perché questi non utilizzano i comandi vssadmin.exe. Tuttavia, in futuro potrebbero essere aggiunti i seguenti comandi.

Qui, è cosa da sottolineare che il programma Raccine può terminare il processo legittimo che utilizza vssadmin.exe come parte delle proprie routine di backup. Roth evidenziando questo punto, ha detto, presto il Raccine consentirà certe capacità che permettono ad alcuni programmi di bypassare in modo che nessun file venga terminato per errore.

 I passaggi per scaricare Raccine:

  • Scarica Raccine.exe e copialo nella cartella C: \ Windows utilizzando il prompt dei comandi con privilegi elevati
  • Quindi scaricare il file di registro raccine-reg-patch.reg e fare doppio clic su di esso. Quando vedi il prompt che dice di unire i contenuti nel Registro di sistema, permetti di farlo.

Raccine è ora impostato come debugger per vssadmin.exe e controllerà le copie shadow del volume per i tentativi di cancellazione.

More Stories

Aggiornamento di Windows 11: saluta queste funzionalità

Mark June 25, 2021

Massachusetts MassNotify App Android COVID forzata da Google

Mark June 21, 2021

Novità di Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Come rimuovere Gratsegrid.com dal PC

Mark May 8, 2024

Come rimuovere PartitionActivity l’adware (Mac)

Mark May 8, 2024

Come rimuovere Myxioslive.com dal PC

Mark May 8, 2024

Come rimuovere News-hubuja.com i popup

Mark May 8, 2024

Come rimuovere Ardoduoan.com dal PC

Mark May 7, 2024