New ransomware vaccine kills programs wiping Windows shadow volumes
Un nouveau programme de vaccination contre les ransomwares a été créé qui met fin aux processus qui tentent de supprimer les clichés instantanés de volume à l’aide du programme vssadmin.exe de Microsoft,
Chaque jour, Windows créera des sauvegardes de votre système et de vos fichiers de données et les stockera dans des instantanés de cliché instantané de volume.
Ces instantanés peuvent ensuite être utilisés pour récupérer des fichiers s’ils sont modifiés ou supprimés par erreur.
Comme les infections par ransomware ne veulent pas que les victimes utilisent cette fonctionnalité pour récupérer des fichiers gratuitement, l’une des premières choses qu’elles font une fois exécutées est de supprimer toutes les copies Shadow Volume de l’ordinateur.
Le vaccin contre le ransomware Raccine :
Ce week-end, le chercheur en sécurité Florian Roth a publié le vaccin contre le ransomware ‘Raccine’ qui surveillera la suppression des copies de volume d’ombre à l’aide de la commande vssadmin.exe.
« Nous voyons les ransomwares supprimer assez souvent tous les clichés instantanés à l’aide de vssadmin. Et si nous pouvions simplement intercepter cette demande et tuer le processus d’appel? Essayons de créer un vaccin simple », explique la page GitHub de Raccine.
Raccine fonctionne en enregistrant l’exécutable raccine.exe en tant que débogueur pour vssadmin.exe à l’aide de la clé de registre Windows Options d’exécution de fichier image.
Une fois que raccine.exe est enregistré en tant que débogueur, chaque fois que vssadmin.exe est exécuté, il lancera également Raccine, qui vérifiera si vssadmin tente de supprimer les clichés instantanés.
S’il détecte qu’un processus utilise «vssadmin delete», il terminera automatiquement le processus, ce qui est généralement effectué avant que le ransomware ne commence à crypter les fichiers sur un ordinateur.
Pour ces variantes de ransomware, Raccine ne bloquera pas actuellement le ransomware car ils n’utilisent pas vssadmin.exe. La prise en charge de ces commandes pourra être ajoutée ultérieurement.
Il convient également de noter que Raccine peut mettre fin aux logiciels légitimes qui utilisent vssadmin.exe dans le cadre de leurs routines de sauvegarde.
Roth prévoit d’ajouter la possibilité de permettre à certains programmes de contourner Raccine à l’avenir afin qu’ils ne soient pas interrompus par erreur.
Pour plus de details >> https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram