Ransomware blijft een grootste bedreiging voor zowel thuisgebruikers als zakelijke gebruikers. Gelukkig, beveiligingsonderzoeker Florian Roth heeft zojuist een ransomwarevaccin uitgebracht.
Raccine genoemd, de tool controleert op het verwijderen van schaduwvolumekopieën, die ransomware verdwijnt meestal.
Raccin, een nieuw vaccin tegen ransomware
Het Windows-besturingssysteem maakt back-ups en gegevensbestanden, en slaat ze op in de Shadow Volume Copy-snapshots. Deze kunnen worden gebruikt om gegevens te herstellen die verloren of verwijderd zijn. Natuurlijk, ransomware-criminelen zijn zich bewust van die functie. Deze criminelen willen niet dat u uw bestanden gratis kunt herstellen, ze verwijderen gewoonlijk alle Shadow Volume-kopieën op de geïnfecteerde computer.
Het verwijderen van deze kopieën gebeurt meestal via het vssadmin.exe-commando dat bekend staat als vssadmin delete shadows / all / quiet. Met dank aan beveiligingsonderzoeker Florian Roth, het nieuwe ransomware-vaccin zal controleren of deze kopieën worden verwijderd met behulp van de opdracht vssadmin.exe.
Hoe werkt Raccine?
De tool werkt door het registreren van raccine.exe als debugger voor vssadmin.exe. Dit wordt gedaan met behulp van de Windows-registersleutel Opties voor het uitvoeren van afbeeldingsbestanden. Zodra dit bestand is geregistreerd als debugger, Raccine wordt gestart elke keer dat vssadmin.exe wordt uitgevoerd. Hierdoor, de tool kan controleren of vssadmin probeert om schaduwvolumekopieën van de computer te verwijderen.
Als de tool een dergelijk proces detecteert, het zal het automatisch beëindigen.
Helaas, sommige recentere ransomwarefamilies verwijderen deze kopieën via andere opdrachten. Dit ransomwarevaccin kan deze ransomwarefamilies niet blokkeren omdat ze de vssadmin.exe niet gebruiken. Ook, Houd er rekening mee dat het vaccin legitieme software kan beëindigen die vssadmin.exe gebruikt als onderdeel van hun back-uproutines.
Je kan download Raccine van Github. In het geval dat de tool een legitiem programma beëindigt, u kunt de installatie ongedaan maken door het registerbestand raccine-reg-patch-uninstall.reg te gebruiken. Dan, verwijder C:\windows raccine.exe.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: