El ransomware sigue siendo una de las principales amenazas para los usuarios domésticos y empresariales. Afortunadamente, El investigador de seguridad Florian Roth acaba de lanzar una vacuna contra ransomware.
Llamado Raccine, la herramienta supervisa la eliminación de instantáneas de volumen, cual ransomware típicamente borra.
Raccine, una nueva vacuna contra el ransomware
El sistema operativo Windows crea copias de seguridad y archivos de datos., y los almacena en las instantáneas de Shadow Volume Copy. Estos se pueden usar para recuperar datos que se han perdido o eliminado. Por supuesto, los delincuentes de ransomware conocen esa característica. Como estos delincuentes no quieren que pueda restaurar sus archivos de forma gratuita, generalmente eliminan todas las instantáneas de volumen en la computadora infectada.
La eliminación de estas copias generalmente se realiza a través del comando vssadmin.exe conocido como vssadmin delete shadows / all / quiet. Gracias al investigador de seguridad Florian Roth, la nueva vacuna ransomware controlará la eliminación de estas copias mediante el comando vssadmin.exe.
¿Cómo actúa Raccine??
La herramienta funciona registrando raccine.exe como depurador para vssadmin.exe. Esto se hace usando la clave de registro de Windows de Opciones de ejecución de archivos de imagen. Una vez que este archivo está registrado como depurador, Raccine se iniciará cada vez que se ejecute vssadmin.exe. Al hacerlo, la herramienta puede verificar si vssadmin está intentando eliminar las instantáneas de volumen de la computadora.
Si la herramienta detecta tal proceso, lo terminará automáticamente.
Desafortunadamente, Algunas familias de ransomware más recientes eliminan estas copias mediante otros comandos.. Esta vacuna de ransomware no puede bloquear estas familias de ransomware porque no utilizan vssadmin.exe. También, tenga en cuenta que la vacuna puede terminar con el software legítimo que utiliza vssadmin.exe como parte de sus rutinas de respaldo.
Puedes descargar Raccine de Github. En caso de que la herramienta cancele algún programa legítimo, puede desinstalar utilizando el archivo de registro raccine-reg-patch-uninstall.reg. Entonces, eliminar C:\windows raccine.exe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: