Il vaccino Ransomware Raccine ora impedisce la cancellazione della copia replicata del volume
Florian Roth ha rilasciato il vaccino ransomware “Raccine” che impedirà al ransomware di eliminare le copie shadow del volume.
Gli snapshot della copia shadow per i file di sistema e di dati vengono creati e archiviati come backup da Windows su base giornaliera. Gli utenti possono utilizzare queste istantanee per recuperare file modificati o eliminati per errore.
Nei casi di attacco ransomware, la prima cosa che fanno questi virus è eliminare le copie shadow in modo che le vittime non possano utilizzare questa funzione per recuperare i file gratuitamente. Eseguono determinati comandi per eliminare i suddetti backup da Windows. Uno di questi è utilizzare il seguente comando vssadmi.exe:
vssadmin elimina ombre / tutto / silenzioso
Il vaccino rilasciato questa settimana monitorerà l’eliminazione del volume Shadow utilizzando il comando vssadmin.exe. Come spiega la pagina GitHub di Raccine,
“Vediamo abbastanza spesso ransomware eliminare tutte le copie shadow utilizzando vssadmin. E se potessimo semplicemente intercettare quella richiesta e terminare il processo di invocazione? Proviamo a creare un semplice vaccino”.
Raccine funziona registrando un eseguibile raccine.exe come debugger per il file vassadmin.exe con l’aiuto della chiave di registro di Windows Opzioni di esecuzione file immagine.
Una volta completato questo processo, Racine può verificare se vssadmin tenta di eliminare le copie shadow. Nel caso in cui rilevi che il processo utilizza vssadmin delete, terminerà automaticamente il processo.
Alcune moderne famiglie di ransomware utilizzano altri comandi elencati di seguito per l’eliminazione delle copie shadow:
et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy elimina / nointeractive
Raccine non funzionerà con tali malware perché questi non utilizzano i comandi vssadmin.exe. Tuttavia, in futuro potrebbero essere aggiunti i seguenti comandi.
Qui, è cosa da sottolineare che il programma Raccine può terminare il processo legittimo che utilizza vssadmin.exe come parte delle proprie routine di backup. Roth evidenziando questo punto, ha detto, presto il Raccine consentirà certe capacità che permettono ad alcuni programmi di bypassare in modo che nessun file venga terminato per errore.
I passaggi per scaricare Raccine:
- Scarica Raccine.exe e copialo nella cartella C: \ Windows utilizzando il prompt dei comandi con privilegi elevati
- Quindi scaricare il file di registro raccine-reg-patch.reg e fare doppio clic su di esso. Quando vedi il prompt che dice di unire i contenuti nel Registro di sistema, permetti di farlo.
Raccine è ora impostato come debugger per vssadmin.exe e controllerà le copie shadow del volume per i tentativi di cancellazione.