Простая защита от программ-вымогателей
На гитхабе открыт проект программы, борющейся с шифровальщиками, которые предварительно удаляют все теневые копии с помощью системной утилиты vssadmin.
Как это устроено
Программа регистрируется как отладчик для vssadmin.exe (и wmic.exe), который является скомпилированным raccine.exe. Raccine — это двоичный файл, который сначала собирает все PID родительских процессов, а затем пытается убить все родительские процессы, пытающиеся использовать утилиту vssadmin.exe.
Преимущества:
- Метод довольно общий;
- Не нужно заменять системный файл (vssadmin.exe или wmic.exe), что может привести к проблемам с целостностью и нарушить работу при каждом обновлении;
- Изменения легко отменить;
- Метод работает на всех версиях Windows, начиная с Windows 2000;
- Работает без агента.
Недостатки:
- Обычные программы использующие vssadmin.exe delete shadows (или любой другой комбинации из черного списка) также блокируются;
- Также убивает процессы, которые могли быть процессом резервного копирования;
- Не будут обнаружены методы, в которых вредоносный процесс не является одним из процессов в дереве, вызвавшего vssadmin.exe (например, через schtasks).
Предупреждение !!!
Вы больше не сможете запускать приложения, которые используют команды из черного списка, на машине с raccinated, пока не примените патч удаления raccine-reg-patch-uninstall.reg. Это может нарушить работу различных решений резервного копирования, которые запускают эту команду во время своей работы. Он не только заблокирует этот запрос, но и уничтожит все процессы в этом дереве процессов, включая решение для резервного копирования и процесс его вызова.
Если у вас есть мониторинг, который регистрирует все выполнения процессов, вы можете проверить журналы, чтобы узнать, удаляет ли vssadmin.exe создаваемые копии и если это делает ваше решение для резервного копирования, то в этом случае вам следует воздержаться от использования Raccine.
Ссылка на гитхаб https://github.com/Neo23x0/Raccine