O ransomware continua a ser uma das principais ameaças para usuários domésticos e corporativos. Felizmente, o pesquisador de segurança Florian Roth acaba de lançar uma vacina de ransomware.
Chamado Raccine, a ferramenta monitora a exclusão de cópias do volume de sombra, qual ransomware normalmente apaga.
Raccine, uma nova vacina contra ransomware
O sistema operacional Windows cria backups e arquivos de dados, e os armazena nos instantâneos Shadow Volume Copy. Eles podem ser usados para recuperar dados que foram perdidos ou excluídos. Claro, criminosos de ransomware estão cientes desse recurso. Como esses criminosos não querem que você restaure seus arquivos gratuitamente, eles geralmente excluem todas as cópias do Shadow Volume no computador infectado.
A exclusão dessas cópias geralmente é feita por meio do comando vssadmin.exe conhecido como vssadmin delete shadow / all / quiet. Agradecimentos ao pesquisador de segurança Florian Roth, a nova vacina de ransomware monitorará a exclusão dessas cópias usando o comando vssadmin.exe.
Como funciona o Raccine?
A ferramenta funciona registrando o raccine.exe como um depurador para vssadmin.exe. Isso é feito usando a chave de registro do Windows de Opções de execução de arquivo de imagem. Assim que este arquivo for registrado como um depurador, Raccine será lançado sempre que vssadmin.exe for executado. Ao fazê-lo, a ferramenta pode verificar se vssadmin está tentando excluir cópias do volume de sombra do computador.
Se a ferramenta detectar tal processo, vai encerrar automaticamente.
Infelizmente, algumas famílias de ransomware mais recentes excluem essas cópias por meio de outros comandos. Esta vacina de ransomware não pode bloquear essas famílias de ransomware, pois elas não usam o vssadmin.exe. Além disso, observe que a vacina pode encerrar softwares legítimos que utilizam vssadmin.exe como parte de suas rotinas de backup.
Você pode baixar Raccine do Github. No caso de a ferramenta encerrar qualquer programa legítimo, você pode desinstalar usando o arquivo de registro raccine-reg-patch-uninstall.reg. Então, deletar C:\windows raccine.exe.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: