A vacina de ransomware Raccine agora impede que a cópia de sombra de volume seja excluída

Mark October 5, 2020

Florian Roth lançou a vacina de ransomware “Raccine” que impedirá o ransomware de excluir cópias de sombra de volume.

Instantâneos de cópia de sombra para arquivos de sistema e de dados são criados e armazenados como backups pelo Windows diariamente. Os usuários podem usar esses instantâneos para recuperar arquivos que eles alteraram ou excluíram por engano.

Em casos de ataque de ransomware, a primeira coisa que esses vírus fazem é deletar as cópias de sombra para que as vítimas não possam usar esse recurso para recuperar os arquivos gratuitamente. Eles executam certos comandos para excluir os referidos backups do Windows. Uma delas é usar o seguinte comando vssadmi.exe:

vssadmin deletar sombras / all / quiet

A vacina lançada esta semana monitorará a exclusão do volume Shadow usando o comando vssadmin.exe. Como explica a página GitHub de Raccine,

“Vemos o ransomware deletar todas as cópias de sombra usando vssadmin com bastante frequência. E se pudéssemos apenas interceptar essa solicitação e eliminar o processo de invocação? Vamos tentar criar uma vacina simples.”

Raccine funciona registrando um executável raccine.exe como um depurador para o arquivo vassadmin.exe com a ajuda da chave de registro do Windows de Opções de execução de arquivo de imagem.

Assim que o processo for concluído, Racine pode verificar se o vssadmin tenta excluir as cópias de sombra. Caso detecte que o processo está usando vssadmin delete, ele encerrará automaticamente o processo.

Algumas famílias de ransomware modernas usam outros comandos listados abaixo para exclusão de cópias de sombra:

et-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}

WMIC.exe shadowcopy delete / nointeractive

O Raccine não funcionará para esse tipo de malware porque eles não usam os comandos vssadmin.exe. No entanto, podem ser adicionados os seguintes comandos no futuro.

É importante ressaltar que o programa Raccine pode encerrar o processo legítimo que usa o vssadmin.exe como parte de suas rotinas de backup. Roth destacando este ponto, disse, em breve o Raccine terá certa capacidade que permite que determinados programas sejam ignorados para que nenhum arquivo seja encerrado por engano.

 As etapas para baixar o Raccine:

  • Baixe Raccine.exe e copie-o para a pasta C: \ Windows usando o prompt de comando elevado
  • Em seguida, baixe o arquivo de registro raccine-reg-patch.reg e clique duas vezes nele. Quando você vir o prompt dizendo mesclar o conteúdo no Registro, permita que o faça.

Raccine agora está definido como um depurador para vssadmin.exe e irá monitorar as cópias de sombra de volume para tentativas de exclusão.

More Stories

Atualização do Windows 11: diga adeus a esses recursos

Mark June 25, 2021

Aplicativo COVID para Android Massachusetts MassNotify forçado pelo Google

Mark June 21, 2021

O que há de novo no Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Como retirar Stink o ladrão do PC

Mark May 18, 2024

Como retirar Lochautha.com pop-ups

Mark May 18, 2024

Como retirar InitialRemote adware (Mac)

Mark May 18, 2024

Como retirar OpportunityTerminal adware (Mac)

Mark May 18, 2024

Como retirar FocusProgrammer adware (Mac)

Mark May 18, 2024