Новая вакцина от Ransomware против удаления теневых копий Windows

отредактировано 5 окт Раздел: Шифровирусы шумной толпою
Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,

Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов.

Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.

Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов, одно из первых действий, которые они делают при запуске, - это удаление всех копий теневых томов на компьютере.

Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:
vssadmin delete shadows /all /quiet
Вакцина от программ-вымогателей Raccine

В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель Raccine, которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.

«Мы довольно часто видим, как программы-вымогатели удаляют все теневые копии с помощью vssadmin. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub.

Raccine работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.

После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.

Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.

raccine.jpg

Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy удалить / nointeractive

Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем.

Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.

Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.

Как установить Raccine

Чтобы установить Raccine, вы можете выполнить следующие действия:

Загрузите Raccine.exe и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows.
raccine-reg-patch.reg и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.

Raccine теперь зарегистрирован как отладчик для команды vssadmin.exe, отслеживающей попытки удаления теневых копий тома.

Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра raccine-reg-patch-uninstall.reg и удалив C: \ windows \ raccine.exe.

После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.

https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/
версия 0.4.1
https://github.com/Neo23x0/Raccine/releases
Войдите или Зарегистрируйтесь чтобы комментировать.