HACKING

Ransomware vaccine τερματίζει προγράμματα που διαγράφουν Windows shadow copies

This post was originally published on this site

Δημιουργήθηκε νέο ransomware vaccine πρόγραμμα που τερματίζει τις κακόβουλες διαδικασίες που προσπαθούν να διαγράψουν τα Windows shadow copies χρησιμοποιώντας το πρόγραμμα vssadmin.exe της Microsoft.

Windows shadow copies ransomware vaccine

Τα Windows δημιουργούν αντίγραφα ασφαλείας του συστήματος και των αρχείων των χρηστών και τα αποθηκεύουν σε Shadow Volume Copy snapshots. Αυτά τα snapshots είναι πολύ χρήσιμα γιατί μπορούν να χρησιμοποιηθούν για την ανάκτηση αρχείων σε περίπτωση που διαγραφούν κατά λάθος.

Οι ransomware συμμορίες δεν θέλουν τα θύματα να χρησιμοποιούν αυτήν τη δυνατότητα, γιατί με αυτόν τον τρόπο ανακτούν τα κρυπτογραφημένα δεδομένα δωρεάν. Γι’ αυτό το λόγο, ένα από τα πρώτα πράγματα που κάνουν κάποια ransomware, είναι να διαγράψουν όλα τα Shadow Volume copies.

Μια μέθοδος διαγραφής των Shadow Volumes είναι η χρήση της ακόλουθης εντολής vssadmin.exe:

vssadmin delete shadows /all /quiet

Raccine ransomware vaccine

Αυτό το Σαββατοκύριακο, ο ερευνητής ασφαλείας Florian Roth κυκλοφόρησε το ‘Raccine‘ ransomware vaccine, που έχει σχεδιαστεί για να παρακολουθεί ύποπτες δραστηριότητες που προσπαθούν να διαγράψουν τα shadow volume copies χρησιμοποιώντας την εντολή vssadmin.exe.

Βλέπουμε αρκετά συχνά τα ransomware να διαγράφουν shadow copies χρησιμοποιώντας το vssadmin. Τι θα συμβεί αν μπορέσουμε να παρακολουθήσουμε αυτό το request και να εμποδίσουμε αυτή τη διαδικασία; Ας προσπαθήσουμε να δημιουργήσουμε ένα απλό εμβόλιο“, εξηγεί η σελίδα του Raccine στο GitHub.

Λειτουργία του Raccine

Αρχικά, καταχωρείται το εκτελέσιμο raccine.exe ως debugger για το vssadmin.exe, με τη χρήση του Image File Execution Options Windows registry key.

Από τη στιγμή που το raccine.exe καταχωρείται ως πρόγραμμα εντοπισμού σφαλμάτων (debugger), κάθε φορά που εκτελείται το vssadmin.exe, θα εκτελείται και το Raccine, το οποίο θα ελέγξει αν το vssadmin προσπαθεί να διαγράψει τα shadow copies.

Εάν εντοπίσει μια διαδικασία που χρησιμοποιεί το “vssadmin delete”, θα την τερματίσει αυτόματα. Αυτή η διαδικασία γίνεται συνήθως πριν το ransomware ξεκινήσει την κρυπτογράφηση αρχείων σε έναν υπολογιστή.

Αυτό το νέο ransomware vaccine πρόγραμμα μπορεί να είναι πολύ χρήσιμο, αλλά ορισμένα ransomware διαγράφουν shadow volumes χρησιμοποιώντας άλλες εντολές, όπως:

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

WMIC.exe shadowcopy delete /nointeractive

Σε αυτές τις περιπτώσεις, το Raccine δεν θα μπλοκάρει τη διαδικασία διαγραφής του ransomware καθώς δεν χρησιμοποιείται το vssadmin.exe. Ενδέχεται να προστεθεί υποστήριξη γι’ αυτές τις εντολές στο μέλλον.

Ωστόσο, θα πρέπει επίσης να σημειωθεί ότι το Raccine μπορεί να τερματίσει και νόμιμο λογισμικό που χρησιμοποιεί το vssadmin.exe για τη δημιουργία αντιγράφων ασφαλείας.

Ο Roth σχεδιάζει να προσθέσει μια δυνατότητα που θα επιτρέπει να γίνεται αυτός ο διαχωρισμός, ώστε να μην τερματίζονται απαραίτητες και νόμιμες διαδικασίες.

Πώς να εγκαταστήσετε το Raccine;

  • Κάντε λήψη του Raccine.exe και χρησιμοποιήστε ένα “elevated command prompt” για να το αντιγράψετε στο C: Windows folder.
  • Κατεβάστε το raccine-reg-patch.reg Registry file και κάντε διπλό κλικ σε αυτό.

Το Raccine έχει πλέον καταχωρηθεί ως πρόγραμμα εντοπισμού σφαλμάτων.

Εάν το Raccine τερματίζει νόμιμα προγράμματα, μπορείτε να το απεγκαταστήσετε εκτελώντας το raccine-reg-patch-uninstall.reg registry file και διαγράφοντας το C: windows raccine.exe. Με την απεγκατάσταση, το ransomware vaccine δεν θα μπορεί να τερματίσει τις κακόβουλες δραστηριότητες.

The post Ransomware vaccine τερματίζει προγράμματα που διαγράφουν Windows shadow copies appeared first on SecNews.gr.

https://www.secnews.gr/security/feed



%d bloggers like this: