Hjem > Cyber ​​Nyheder > Raccine, Ransomware-vaccine, der gemmer Shadow Volume-kopier
CYBER NEWS

Vaccine, Ransomware-vaccine, der gemmer Shadow Volume-kopier

Ransomware er fortsat en største trussel mod både hjemmebrugere og virksomhedsbrugere. Heldigvis, sikkerhedsforsker Florian Roth har netop frigivet en ransomware-vaccine.

Kaldet Raccine, værktøjet overvåger til sletning af kopier af skyggevolumen, hvilken ransomware tørrer typisk ud.




Vaccine, en ny vaccine mod ransomware

Windows-operativsystemet opretter sikkerhedskopier og datafiler, og gemmer dem i Shadow Volume Copy-snapshots. Disse kan bruges til at gendanne data, som er gået tabt eller slettet. Selvfølgelig, ransomware-kriminelle er opmærksomme på denne funktion. Da disse kriminelle ikke ønsker, at du skal kunne gendanne dine filer gratis, de sletter normalt alle Shadow Volume-kopier på den inficerede computer.

Sletning af disse kopier sker normalt via kommandoen vssadmin.exe kendt som vssadmin slet skygger / alt / stille. Tak til sikkerhedsforsker Florian Roth, den nye ransomware-vaccine overvåger sletning af disse kopier ved hjælp af kommandoen vssadmin.exe.

Hvordan fungerer Raccine?

Værktøjet fungerer ved at registrere raccine.exe som en debugger til vssadmin.exe. Dette gøres ved hjælp af Windows-registernøglen Image File Execution Options. Når denne fil er registreret som en debugger, Raccine startes hver gang vssadmin.exe udføres. Ved at gøre det, værktøjet kan kontrollere, om vssadmin forsøger at slette kopier af skyggevolumen fra computeren.

Hvis værktøjet registrerer en sådan proces, det afslutter det automatisk.

Desværre, nogle nyere ransomware-familier sletter disse kopier via andre kommandoer. Denne ransomware-vaccine kan ikke blokere disse ransomware-familier, da de ikke bruger vssadmin.exe. Også, bemærk, at vaccinen kan afslutte legitim software, der bruger vssadmin.exe som en del af deres backup-rutiner.

Du kan download Raccine fra Github. Hvis værktøjet afslutter et legitimt program, du kan afinstallere ved hjælp af registreringsdatabasen til raccine-reg-patch-uninstall.reg. Derefter, slet C:\windows raccine.exe.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...