Il ransomware continua a essere una delle principali minacce sia per gli utenti domestici che per quelli aziendali. Per fortuna, Il ricercatore di sicurezza Florian Roth ha appena rilasciato un vaccino contro il ransomware.
Chiamato Raccine, lo strumento controlla l'eliminazione delle copie shadow del volume, quale ransomware tipicamente spazza via.
Raccine, un nuovo vaccino contro il ransomware
Il sistema operativo Windows crea backup e file di dati, e li memorizza negli snapshot di Shadow Volume Copy. Questi possono essere usati per recuperare i dati che sono stati persi o cancellati. Naturalmente, i criminali ransomware sono consapevoli di questa caratteristica. Poiché questi criminali non vogliono che tu possa ripristinare i tuoi file gratuitamente, di solito eliminano tutte le copie Shadow Volume sul computer infetto.
L'eliminazione di queste copie viene solitamente eseguita tramite il comando vssadmin.exe noto come vssadmin delete shadows / all / quiet. Grazie al ricercatore di sicurezza Florian Roth, il nuovo vaccino ransomware monitorerà l'eliminazione di queste copie utilizzando il comando vssadmin.exe.
Come funziona Raccine?
Lo strumento funziona registrando il raccine.exe come debugger per vssadmin.exe. Questa operazione viene eseguita utilizzando la chiave di registro di Windows Opzioni di esecuzione file immagine. Una volta che questo file è stato registrato come debugger, Raccine verrà lanciato ogni volta che viene eseguito vssadmin.exe. Così facendo, lo strumento può verificare se vssadmin sta tentando di eliminare le copie del volume shadow dal computer.
Se lo strumento rileva un tale processo, lo terminerà automaticamente.
Sfortunatamente, alcune famiglie di ransomware più recenti eliminano queste copie tramite altri comandi. Questo vaccino ransomware non può bloccare queste famiglie di ransomware poiché non utilizzano vssadmin.exe. Anche, tieni presente che il vaccino potrebbe terminare il software legittimo che utilizza vssadmin.exe come parte delle loro routine di backup.
Puoi scarica Raccine da Github. Nel caso in cui lo strumento interrompa qualsiasi programma legittimo, è possibile eseguire la disinstallazione utilizzando il file di registro raccine-reg-patch-uninstall.reg. Poi, eliminare C:\windows raccine.exe.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: