疫苗勒索软件疫苗现在可以防止卷影副本被删除

弗洛里安·罗斯（Florian Roth）发布了“ Raccine”勒索软件疫苗，该疫苗将防止勒索软件删除“卷影副本”。

Windows每天都会创建系统和数据文件的卷影复制快照，并将其存储为备份。用户可以使用这些快照来恢复错误更改或删除的文件。

在勒索软件攻击的情况下，这些病毒的第一件事就是删除卷影副本，以使受害者无法使用此功能免费恢复文件。他们执行某些命令以从Windows删除上述备份。其中之一是使用以下vssadmi.exe命令：

vssadmin删除阴影/ all / quiet

本周发布的疫苗将使用vssadmin.exe命令监视阴影卷的删除。正如Raccine的GitHub页面所述，

“我们看到勒索软件经常使用vssadmin删除所有卷影副本。如果我们仅能拦截该请求并终止调用过程该怎么办？让我们尝试创建一个简单的疫苗。”

Raccine通过在图像文件执行选项Windows注册表项的帮助下将raccine.exe可执行文件注册为vassadmin.exe文件的调试器来工作。

完成此过程后，Racine可以检查vssadmin是否尝试删除卷影副本。如果它检测到进程正在使用vssadmin delete，它将自动终止该进程。

一些现代勒索软件系列使用下面列出的其他命令删除卷影副本：

et-WmiObject Win32_Shadowcopy | ForEach对象{$ _。Delete（）;}

WMIC.exe shadowcopy删除/ nointeractive

Raccine将不适用于此类恶意软件，因为它们不使用vssadmin.exe命令。但是，将来可能会添加以下命令。

这里要指出的是，Raccine程序可能会终止使用vssadmin.exe作为备份例程一部分的合法进程。罗斯强调了这一点，他说，很快Raccine将具有一定的能力，可以绕过某些程序，这样就不会错误地终止任何文件。

下载浣熊的步骤：

现在将Raccine设置为vssadmin.exe的调试器，它将监视卷影副本的删除尝试。