Ransomware ist weiterhin eine große Bedrohung für Privat- und Unternehmensbenutzer. Zum Glück, Der Sicherheitsforscher Florian Roth hat gerade einen Ransomware-Impfstoff veröffentlicht.
Raccine genannt, Das Tool überwacht das Löschen von Schattenvolumenkopien, was Ransomware löscht normalerweise aus.
Raccine, ein neuer Impfstoff gegen Ransomware
Das Windows-Betriebssystem erstellt Sicherungen und Datendateien, und speichert sie in den Snapshots von Shadow Volume Copy. Diese können verwendet werden, um verlorene oder gelöschte Daten wiederherzustellen. Natürlich, Ransomware-Kriminelle sind sich dieser Funktion bewusst. Da diese Kriminellen nicht möchten, dass Sie Ihre Dateien kostenlos wiederherstellen können, Normalerweise löschen sie alle Shadow Volume-Kopien auf dem infizierten Computer.
Das Löschen dieser Kopien erfolgt normalerweise über den Befehl vssadmin.exe, der als vssadmin delete shadows / all / quiet bezeichnet wird. Dank an den Sicherheitsforscher Florian Roth, Der neue Ransomware-Impfstoff überwacht das Löschen dieser Kopien mit dem Befehl vssadmin.exe.
Wie funktioniert Raccine??
Das Tool registriert die Datei raccine.exe als Debugger für vssadmin.exe. Dies erfolgt mithilfe des Windows-Registrierungsschlüssels für Ausführungsoptionen für Bilddateien. Sobald diese Datei als Debugger registriert ist, Raccine wird jedes Mal gestartet, wenn vssadmin.exe ausgeführt wird. Dadurch, Das Tool kann überprüfen, ob vssadmin versucht, Kopien von Schattenvolumes vom Computer zu löschen.
Wenn das Tool einen solchen Prozess erkennt, es wird automatisch beendet.
Leider, Einige neuere Ransomware-Familien löschen diese Kopien über andere Befehle. Dieser Ransomware-Impfstoff kann diese Ransomware-Familien nicht blockieren, da sie die Datei vssadmin.exe nicht verwenden. Auch, Bitte beachten Sie, dass der Impfstoff möglicherweise legitime Software beendet, die vssadmin.exe als Teil ihrer Sicherungsroutinen verwendet.
Sie können Laden Sie Raccine von Github herunter. Falls das Tool ein legitimes Programm beendet, Sie können die Datei mithilfe der Registrierungsdatei raccine-reg-patch-uninstall.reg deinstallieren. Dann, löschen C.:\windows raccine.exe.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: