Der deutsche Sicherheitsforscher Florian Roth, der für den Dietzenbacher Anbieter Nextron Systems arbeitet, hat als „Wochenendprojekt“ ein Tool entwickelt, das die Folgen eines Ransomwareangriffs mindern kann. Die Raccine genannte App ist in der Lage, das Löschen von Volume-Schattenkopien über den Befehl „vssadmin“ zu verhindern.
Einige Ransomware-Varianten erhöhen ihre Effektivität, indem sie die Volume-Schattenkopien entfernen, die unverschlüsselte Kopien der von den Erpressern verschlüsselten Dateien enthalten könnten. Dazu bedienen sie sich unter Umständen des in Windows enthaltenen Tools vssadmin. Wie v berichtet können die Kopien damit gelöscht oder auch der für die Schattenkopien verfügbarer Speicherplatz verändert werden. Letzteres führt dazu, dass alle vorhandenen Snaphots vernichtet werden.
„Wir sehen sehr oft, dass Ransomware alle Schattenkopien per vssadmin löscht. Was wäre, wenn wir diese Anfragen abfangen und die auslösenden Prozesse beenden könnten?“, schreibt Roth auf der GitHub-Seite von Raccine.
Zu diesem Zweck muss die ausführbare Datei des Tools (raccine.exe) per Windows Registry als Debugger für vssadmin.exe registriert werden. Das sorgt auch dafür, dass jedes Mal, wenn vssadmin ausgeführt wird, auch Raccine gestartet wird. Erkennt Raccine einen Prozess, der die Befehle „vssadmin delete“ oder „vssadmin resize shadowstorage“ aufruft, beendet es diesen automatisch.
Bleeping Computer weist darauf hin, dass es auch andere Methoden gibt, um die Schattenkopien mit Windows-Bordmitteln zu löschen. Diese Verfahren könne das Tool bisher nicht bekämpfen.
Roth selbst merkt an, dass sein Tool auch Nachteile hat. Unter anderem unterscheidet es ihm zufolge nicht zwischen schädlichen und legitimen Versuchen, die Schattenkopien per vssadmin zu löschen. Dabei würden unter Umständen auch legitime Backup-Anwendungen beendet.
Auf seiner GitHub-Seite hält Roth auch eine Anleitung für Raccine bereit. Der Einsatz des Tools erfolgt demnach „at your own risk“, also auf Verantwortung des Nutzers.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…
Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…
Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…
