Les ransomwares continuent d'être une menace majeure pour les utilisateurs à domicile et en entreprise. Heureusement, Le chercheur en sécurité Florian Roth vient de publier un vaccin contre les ransomwares.
Appelé Raccine, l'outil surveille la suppression des clichés instantanés de volume, laquelle ransomware efface généralement.
Raccin, un nouveau vaccin contre les ransomwares
Le système d'exploitation Windows crée des sauvegardes et des fichiers de données, et les stocke dans les instantanés de Shadow Volume Copy. Ceux-ci peuvent être utilisés pour récupérer des données qui ont été perdues ou supprimées. Bien sûr, les criminels de ransomware sont conscients de cette fonctionnalité. Comme ces criminels ne veulent pas que vous puissiez restaurer vos fichiers gratuitement, ils suppriment généralement toutes les copies Shadow Volume sur l'ordinateur infecté.
La suppression de ces copies est généralement effectuée via la commande vssadmin.exe connue sous le nom de vssadmin delete shadows / all / quiet. Merci au chercheur en sécurité Florian Roth, le nouveau vaccin contre le ransomware surveillera la suppression de ces copies à l'aide de la commande vssadmin.exe.
Comment fonctionne Raccine?
L'outil fonctionne en enregistrant le raccine.exe en tant que débogueur pour vssadmin.exe. Pour ce faire, utilisez la clé de registre Windows Options d’exécution du fichier image. Une fois ce fichier enregistré en tant que débogueur, Raccine sera lancé à chaque exécution de vssadmin.exe. En faisant cela, l'outil peut vérifier si vssadmin tente de supprimer les clichés instantanés de volume de l'ordinateur.
Si l'outil détecte un tel processus, il le terminera automatiquement.
Malheureusement, certaines familles de ransomwares plus récentes suppriment ces copies via d'autres commandes. Ce vaccin contre les ransomwares ne peut pas bloquer ces familles de ransomwares car elles n'utilisent pas le vssadmin.exe. Aussi, veuillez noter que le vaccin peut mettre fin aux logiciels légitimes qui utilisent vssadmin.exe dans le cadre de leurs routines de sauvegarde.
Tu peux télécharger Raccine depuis Github. Au cas où l'outil met fin à un programme légitime, vous pouvez désinstaller à l'aide du fichier de registre raccine-reg-patch-uninstall.reg. Puis, supprimer C:\windows raccine.exe.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: