La nueva vacuna de ransomware acaba con los programas que borran los volúmenes de sombra de Windows

Se ha creado un nuevo programa de vacunación contra ransomware que elimina los procesos que intentan eliminar Volume Shadow Copies utilizando el programa vssadmin.exe de Microsoft.
Cada día, Windows creará copias de seguridad de su sistema y archivos de datos y los almacenará en instantáneas de Shadow Volume Copy.
Estas instantáneas se pueden usar para restaurar archivos si se modifican o eliminan por error.
Dado que las infecciones de ransomware no quieren que las víctimas utilicen esta función para recuperar archivos de forma gratuita, una de las primeras cosas que hacen cuando terminan es eliminar todas las instantáneas de volumen de la computadora.
Un método para eliminar los volúmenes de sombra es utilizar el siguiente comando vssadmin.exe:
vssadmin delete shadows /all /quiet
La vacuna ransomware Raccine
Este fin de semana, investigador de seguridad Florian Roth liberado la vacuna ransomware "Raccine" que supervisará la eliminación de las instantáneas de volumen mediante el comando vssadmin.exe.
"Vemos que el ransomware elimina todas las instantáneas usando vssadmin
Muy a menudo. ¿Qué pasaría si pudiéramos interceptar esa solicitud y finalizar el proceso de invocación? Tratemos de hacer una vacuna simple, "Raccine's Página de GitHub explica.
Raccine funciona registrando el ejecutable raccine.exe como depurador para vssadmin.exe usando la clave de registro de Opciones de ejecución de archivos de imagen.
Una vez que raccine.exe esté registrado como depurador, siempre que se ejecute vssadmin.exe, también iniciará Raccine, que verificará si vssadmin está intentando eliminar las instantáneas.
Si detecta que un proceso está usando "vssadmin delete", terminará automáticamente el proceso, que generalmente se ejecuta antes de que el ransomware comience a cifrar archivos en una computadora.

Si bien este método evita que se cifre una gran cantidad de ransomware, algunas familias modernas de ransomware eliminan los volúmenes ocultos mediante otros comandos, como se indica a continuación.
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
WMIC.exe shadowcopy delete /nointeractive
Para estas variantes de ransomware, Raccine no bloqueará actualmente el ransomware ya que no utilizan vssadmin.exe. Soporte para estos comandos podría agregarse en el futuro.
También debe tenerse en cuenta que Raccine puede finalizar el software legítimo que usa vssadmin.exe como parte de sus rutinas de respaldo.
Roth planea agregar la capacidad de permitir que algunos programas eludan a Raccine en el futuro para que no se cancelen por error.
Cómo instalar Raccine
Para instalar Raccine, puede seguir estos pasos:
- Descarga Raccine.exe y use un símbolo del sistema elevado para copiarlo a la carpeta C: Windows.
- Descargar el archivo raccine-reg-patch.reg Archivo de registro y haga doble clic en él. Cuando se le solicite fusionar contenido en el registro, permítale hacerlo.
Raccine ahora está registrado como depurador para el comando vssadmin.exe que supervisa los intentos de eliminar las instantáneas de volumen.
Si descubre que Raccine está matando los programas legítimos que usa, puede desinstalarlo ejecutando el raccine-reg-patch-uninstall.reg archivo de registro y eliminar C: windows raccine.exe.
Una vez que se desinstale Raccine, ya no finalizará los procesos que intentan eliminar las instantáneas de volumen mediante vssadmin.exe.
Deja una respuesta