Простая защита от программ-вымогателей

На гитхабе открыт проект программы, борющейся с шифровальщиками, которые предварительно удаляют все теневые копии с помощью системной утилиты vssadmin.


Как это устроено

Программа регистрируется как отладчик для vssadmin.exe (и wmic.exe), который является скомпилированным raccine.exe. Raccine — это двоичный файл, который сначала собирает все PID родительских процессов, а затем пытается убить все родительские процессы, пытающиеся использовать утилиту vssadmin.exe.

Преимущества:

  • Метод довольно общий;
  • Не нужно заменять системный файл (vssadmin.exe или wmic.exe), что может привести к проблемам с целостностью и нарушить работу при каждом обновлении;
  • Изменения легко отменить;
  • Метод работает на всех версиях Windows, начиная с Windows 2000;
  • Работает без агента.


Недостатки:

  • Обычные программы использующие vssadmin.exe delete shadows (или любой другой комбинации из черного списка) также блокируются;
  • Также убивает процессы, которые могли быть процессом резервного копирования;
  • Не будут обнаружены методы, в которых вредоносный процесс не является одним из процессов в дереве, вызвавшего vssadmin.exe (например, через schtasks).


Предупреждение !!!

Вы больше не сможете запускать приложения, которые используют команды из черного списка, на машине с raccinated, пока не примените патч удаления raccine-reg-patch-uninstall.reg. Это может нарушить работу различных решений резервного копирования, которые запускают эту команду во время своей работы. Он не только заблокирует этот запрос, но и уничтожит все процессы в этом дереве процессов, включая решение для резервного копирования и процесс его вызова.


Если у вас есть мониторинг, который регистрирует все выполнения процессов, вы можете проверить журналы, чтобы узнать, удаляет ли vssadmin.exe создаваемые копии и если это делает ваше решение для резервного копирования, то в этом случае вам следует воздержаться от использования Raccine.


Ссылка на гитхаб https://github.com/Neo23x0/Raccine

Cервера Microsoft Exchange подвержены уязвимости удаленного выполнения кода
Обновление TrueConf 7.5.4 для macOS