ワクチン, シャドウボリュームコピーを保存するランサムウェアワクチン

ランサムウェアは、ホームユーザーとエンタープライズユーザーの両方にとって引き続き最大の脅威です. 幸運, セキュリティ研究者のFlorianRothがランサムウェアワクチンをリリースしました.

ラクシンと呼ばれる, ツールはシャドウボリュームコピーの削除を監視します, どれの ランサムウェア 通常は一掃します.

ワクチン, ランサムウェアに対する新しいワクチン

Windowsオペレーティングシステムは、バックアップとデータファイルを作成します, それらをシャドウボリュームコピーのスナップショットに保存します. これらは、失われたか削除されたデータを回復するために使用することができます. もちろん, ランサムウェアの犯罪者はその機能を認識しています. これらの犯罪者はあなたがあなたのファイルを無料で復元できることを望んでいないので, 通常、感染したコンピューター上のすべてのシャドウボリュームコピーを削除します.

これらのコピーの削除は通常、vssadmin delete shadows / all/quietと呼ばれるvssadmin.exeコマンドを介して行われます。. セキュリティ研究者のFlorianRothに感謝します, 新しいランサムウェアワクチンは、vssadmin.exeコマンドを使用してこれらのコピーの削除を監視します.

Raccineはどのように機能しますか?

このツールは、raccine.exeをvssadmin.exeのデバッガーとして登録することで機能します。. これは、イメージファイル実行オプションのWindowsレジストリキーを使用して実行されます. このファイルがデバッガーとして登録されると, vssadmin.exeが実行されるたびにRaccineが起動されます. そうすることによって, ツールは、vssadminがコンピューターからシャドウボリュームコピーを削除しようとしているかどうかを確認できます.

ツールがそのようなプロセスを検出した場合, 自動的に終了します.

不運にも, 最近のランサムウェアファミリの中には、他のコマンドを介してこれらのコピーを削除するものがあります. このランサムウェアワクチンは、vssadmin.exeを使用しないため、これらのランサムウェアファミリーをブロックすることはできません。. また, ワクチンは、バックアップルーチンの一部としてvssadmin.exeを利用する正当なソフトウェアを終了させる可能性があることに注意してください.

あなたはできる GithubからRaccineをダウンロードします. ツールが正当なプログラムを終了した場合, raccine-reg-patch-uninstall.regレジストリファイルを使用してアンインストールできます. それで, Cを削除:\windows raccine.exe.