Ransomware er fortsat en største trussel mod både hjemmebrugere og virksomhedsbrugere. Heldigvis, sikkerhedsforsker Florian Roth har netop frigivet en ransomware-vaccine.
Kaldet Raccine, værktøjet overvåger til sletning af kopier af skyggevolumen, hvilken ransomware tørrer typisk ud.
Vaccine, en ny vaccine mod ransomware
Windows-operativsystemet opretter sikkerhedskopier og datafiler, og gemmer dem i Shadow Volume Copy-snapshots. Disse kan bruges til at gendanne data, som er gået tabt eller slettet. Selvfølgelig, ransomware-kriminelle er opmærksomme på denne funktion. Da disse kriminelle ikke ønsker, at du skal kunne gendanne dine filer gratis, de sletter normalt alle Shadow Volume-kopier på den inficerede computer.
Sletning af disse kopier sker normalt via kommandoen vssadmin.exe kendt som vssadmin slet skygger / alt / stille. Tak til sikkerhedsforsker Florian Roth, den nye ransomware-vaccine overvåger sletning af disse kopier ved hjælp af kommandoen vssadmin.exe.
Hvordan fungerer Raccine?
Værktøjet fungerer ved at registrere raccine.exe som en debugger til vssadmin.exe. Dette gøres ved hjælp af Windows-registernøglen Image File Execution Options. Når denne fil er registreret som en debugger, Raccine startes hver gang vssadmin.exe udføres. Ved at gøre det, værktøjet kan kontrollere, om vssadmin forsøger at slette kopier af skyggevolumen fra computeren.
Hvis værktøjet registrerer en sådan proces, det afslutter det automatisk.
Desværre, nogle nyere ransomware-familier sletter disse kopier via andre kommandoer. Denne ransomware-vaccine kan ikke blokere disse ransomware-familier, da de ikke bruger vssadmin.exe. Også, bemærk, at vaccinen kan afslutte legitim software, der bruger vssadmin.exe som en del af deres backup-rutiner.
Du kan download Raccine fra Github. Hvis værktøjet afslutter et legitimt program, du kan afinstallere ved hjælp af registreringsdatabasen til raccine-reg-patch-uninstall.reg. Derefter, slet C:\windows raccine.exe.