+7 (812) 677-17-05

Не дадим удалить бэкапы!

#

Я часто рассказываю о шифровальщиках (просто потому, что новостей о них действительно много), но гораздо полезнее обсудить методы борьбы с ними.

Вообще, методов самостоятельного восстановления после неожиданной атаки вымогателя существует довольно мало. Но, достаточно эффективным инструментом можно считать, например, использование теневых копий системы — бэкапа, который Windows предлагает для отката к последней работоспособной версии.

Именно по этой причине современные шифровальщики защищают теневые копии, отрезая жертвам пути спасения. И именно по этой причине была разработана программка Raccine, которая прерывает процессы удаления теневых копий.

Идея работы утилиты проста. Удаление теневых копий в Windows осуществляется выполнением команды vssadmin delete с указанием директории расположения резервного архива или выполнением команды vssadmin resize shadowstorage с указанием изменения выделенного места под архив (что так же приводит к удалению существующих теневых копий). Таким образом, если представить себе утилиту, которая будет отслеживать запуск vssadmin.exe с ключами delete или resize shadowstorage и пресекать его, мы получим возможность защититься от нежелательного удаления резервных копий нашей системы.

Именно так и поступает Raccine (аббревиатура от Ransomware Vaccine)! Для её корректной работы вместе с установщиком утилиты необходимо скачать и запустить raccine-reg-patch.reg, который пропишет Raccine, как дебаггер (отладчик) для vssadmin.exe. После этого, Raccine получит право следить за работой vssadmin и прерывать её, как только заметит обращение в режиме удаления теневой копии или изменения размеров папки. Готово! Вы великолепны.

Правда, удаление теневой копии может происходить и по вполне легитимным причинам. В таком случае, Raccine так же вмешается в процесс и оборвёт его. В таком случае, рекомендуется удалить утилиту и повторить процесс.

Пока что Raccine больше похожа на костыль, который позволяет жёстко пресечь любые попытки удаления теневых копий, хотя и не учитывает тот факт, что подобная процедура может осуществляться при помощи других утилит. Но разработчик Флориан Рот обещает допилить своё детище и устранить эти недостатки.

По итогу хочу сказать, что предложенный механизм кажется и правда весьма надёжен. Как говорится, всё гениальное просто.

11.10.2020 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных