Не дадим удалить бэкапы!
Я часто рассказываю о шифровальщиках (просто потому, что новостей о них действительно много), но гораздо полезнее обсудить методы борьбы с ними.
Вообще, методов самостоятельного восстановления после неожиданной атаки вымогателя существует довольно мало. Но, достаточно эффективным инструментом можно считать, например, использование теневых копий системы — бэкапа, который Windows предлагает для отката к последней работоспособной версии.
Именно по этой причине современные шифровальщики защищают теневые копии, отрезая жертвам пути спасения. И именно по этой причине была разработана программка Raccine, которая прерывает процессы удаления теневых копий.
Идея работы утилиты проста. Удаление теневых копий в Windows осуществляется выполнением команды vssadmin delete с указанием директории расположения резервного архива или выполнением команды vssadmin resize shadowstorage с указанием изменения выделенного места под архив (что так же приводит к удалению существующих теневых копий). Таким образом, если представить себе утилиту, которая будет отслеживать запуск vssadmin.exe с ключами delete или resize shadowstorage и пресекать его, мы получим возможность защититься от нежелательного удаления резервных копий нашей системы.
Именно так и поступает Raccine (аббревиатура от Ransomware Vaccine)! Для её корректной работы вместе с установщиком утилиты необходимо скачать и запустить raccine-reg-patch.reg, который пропишет Raccine, как дебаггер (отладчик) для vssadmin.exe. После этого, Raccine получит право следить за работой vssadmin и прерывать её, как только заметит обращение в режиме удаления теневой копии или изменения размеров папки. Готово! Вы великолепны.
Правда, удаление теневой копии может происходить и по вполне легитимным причинам. В таком случае, Raccine так же вмешается в процесс и оборвёт его. В таком случае, рекомендуется удалить утилиту и повторить процесс.
Пока что Raccine больше похожа на костыль, который позволяет жёстко пресечь любые попытки удаления теневых копий, хотя и не учитывает тот факт, что подобная процедура может осуществляться при помощи других утилит. Но разработчик Флориан Рот обещает допилить своё детище и устранить эти недостатки.
По итогу хочу сказать, что предложенный механизм кажется и правда весьма надёжен. Как говорится, всё гениальное просто.