Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,
Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов .
Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.
Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов , первое, что они делают при запуске, - это удаляют все копии теневых томов на компьютере.
Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:
vssadmin delete shadows /all /quiet
Вакцина от программ-вымогателей Raccine
В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель Raccine, которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.«Мы видим, что программы-вымогатели удаляют все теневые копии, используя vssadmin довольно часто. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub .
Raccine работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.
После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.
Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.
Процессы убийства расцинов
Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
WMIC.exe shadowcopy delete /nointeractive
Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем .
Также следует отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.
Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.
Как установить Raccine
Чтобы установить Raccine, вы можете выполнить следующие действия:- Загрузите Raccine.exe и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows.
- Загрузите файл реестра raccine-reg-patch.reg и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.
Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра raccine-reg-patch-uninstall.reg и удалив C: \ windows \ raccine.exe.
После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.
Перевод с английского - Google
Последнее редактирование:
