ワクチンランサムウェアワクチンにより、ボリュームシャドウコピーの削除が防止されるようになりました
Florian Rothは、ランサムウェアがボリュームシャドウコピーを削除するのを防ぐ「Raccine」ランサムウェアワクチンをリリースしました。
システムファイルとデータファイルのシャドウコピースナップショットは、Windowsによって毎日作成され、バックアップとして保存されます。ユーザーはこれらのスナップショットを使用して、誤って変更または削除したファイルを回復できます。
ランサムウェア攻撃の場合、これらのウイルスが最初に行うことは、シャドウコピーを削除して、被害者がこの機能を使用してファイルを無料で回復できないようにすることです。それらは、Windowsから前述のバックアップを削除するために特定のコマンドを実行します。その1つは、次のvssadmi.exeコマンドを使用することです。
vssadmin削除シャドウ/すべて/ quiet
今週リリースされたワクチンは、vssadmin.exeコマンドを使用してシャドウボリュームの削除を監視します。 RaccineのGitHubページで説明されているように、
「ランサムウェアがvssadminを使用してすべてのシャドウコピーを削除することがよくあります。その要求を傍受して呼び出しプロセスを強制終了できるとしたらどうでしょうか?簡単なワクチンを作成してみましょう。」
Raccineは、イメージファイル実行オプションのWindowsレジストリキーを使用して、raccine.exe実行可能ファイルをvassadmin.exeファイルのデバッガーとして登録することで機能します。
このプロセスが完了すると、Racineはvssadminがシャドウコピーを削除しようとしているかどうかを確認できます。プロセスがvssadmindeleteを使用していることを検出すると、プロセスは自動的に終了します。
一部の最新のランサムウェアファミリは、シャドウコピーの削除に以下にリストされている他のコマンドを使用します。
et-WmiObject Win32_Shadowcopy | ForEach-Object {$_。Delete();}
WMIC.exeシャドウコピー削除/ nointeractive
これらはvssadmin.exeコマンドを使用しないため、Raccineはそのようなマルウェアに対しては機能しません。ただし、将来的には以下のコマンドが追加される可能性があります。
ここで、Raccineプログラムは、バックアップルーチンの一部としてvssadmin.exeを使用する正当なプロセスを終了する可能性があることに注意してください。 Rothはこの点を強調し、まもなくRaccineは特定のプログラムをバイパスできる特定の機能を許可し、ファイルが誤って終了しないようにする予定だと述べた。
Raccineをダウンロードする手順:
- Raccine.exeをダウンロードし、昇格したコマンドプロンプトを使用してC:\ Windowsフォルダーにコピーします
- 次に、レジストリファイルraccine-reg-patch.regをダウンロードして、ダブルクリックします。コンテンツをレジストリにマージするというプロンプトが表示されたら、それを許可します。
これで、Raccineがvssadmin.exeのデバッガーとして設定され、ボリュームシャドウコピーの削除の試行が監視されます。