Categories: SicherheitVirus

Sicherheitstool schränkt Funktion einiger Ransomware-Varianten ein

Der deutsche Sicherheitsforscher Florian Roth, der für den Dietzenbacher Anbieter Nextron Systems arbeitet, hat als „Wochenendprojekt“ ein Tool entwickelt, das die Folgen eines Ransomwareangriffs mindern kann. Die Raccine genannte App ist in der Lage, das Löschen von Volume-Schattenkopien über den Befehl „vssadmin“ zu verhindern.

Einige Ransomware-Varianten erhöhen ihre Effektivität, indem sie die Volume-Schattenkopien entfernen, die unverschlüsselte Kopien der von den Erpressern verschlüsselten Dateien enthalten könnten. Dazu bedienen sie sich unter Umständen des in Windows enthaltenen Tools vssadmin. Wie v berichtet können die Kopien damit gelöscht oder auch der für die Schattenkopien verfügbarer Speicherplatz verändert werden. Letzteres führt dazu, dass alle vorhandenen Snaphots vernichtet werden.

„Wir sehen sehr oft, dass Ransomware alle Schattenkopien per vssadmin löscht. Was wäre, wenn wir diese Anfragen abfangen und die auslösenden Prozesse beenden könnten?“, schreibt Roth auf der GitHub-Seite von Raccine.

Zu diesem Zweck muss die ausführbare Datei des Tools (raccine.exe) per Windows Registry als Debugger für vssadmin.exe registriert werden. Das sorgt auch dafür, dass jedes Mal, wenn vssadmin ausgeführt wird, auch Raccine gestartet wird. Erkennt Raccine einen Prozess, der die Befehle „vssadmin delete“ oder „vssadmin resize shadowstorage“ aufruft, beendet es diesen automatisch.

Bleeping Computer weist darauf hin, dass es auch andere Methoden gibt, um die Schattenkopien mit Windows-Bordmitteln zu löschen. Diese Verfahren könne das Tool bisher nicht bekämpfen.

Roth selbst merkt an, dass sein Tool auch Nachteile hat. Unter anderem unterscheidet es ihm zufolge nicht zwischen schädlichen und legitimen Versuchen, die Schattenkopien per vssadmin zu löschen. Dabei würden unter Umständen auch legitime Backup-Anwendungen beendet.

Auf seiner GitHub-Seite hält Roth auch eine Anleitung für Raccine bereit. Der Einsatz des Tools erfolgt demnach „at your own risk“, also auf Verantwortung des Nutzers.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Wachsende Gefahr durch OAuth-Attacken

Die Forscher von Proofpoint entdeckten 2020 mehr als 180 gefährliche OAuth 2.0 Applikationen, die Daten…

7 Stunden ago

Forrester definiert XDR

Die Begrifflichkeit von "Extended Detection and Response" oder XDR ist nach wie vor sehr unterschiedlich.…

2 Tagen ago

Apple: iOS Update dringend

Anwender sollten Ihr iPhone und iPad sofort auf iOS 14.5.1 aktualisieren. Das Update enthält Sicherheitsbehebungen…

2 Tagen ago

Ausgaben für Cloud Computing steigen

Die digitale Transformation treibt die Cloud-Nutzung weiter voran und Unternehmen investieren kräftig. Marktführer bleibt AWS,…

2 Tagen ago

Dell trennt sich von Boomi

Dell Technologies verkauft sein auf Cloud-Integration fokussiertes Tochterunternehmen Boomi an Francisco Partners und TPG Capital…

2 Tagen ago

Palo Alto Networks deckt Kryptoklauer auf

Palo Alto Networks hat mit „WeSteal“ einen Kryptowährungsdieb entdeckt, der im Untergrund verkauft wird. Der…

5 Tagen ago