Der deutsche Sicherheitsforscher Florian Roth, der für den Dietzenbacher Anbieter Nextron Systems arbeitet, hat als „Wochenendprojekt“ ein Tool entwickelt, das die Folgen eines Ransomwareangriffs mindern kann. Die Raccine genannte App ist in der Lage, das Löschen von Volume-Schattenkopien über den Befehl „vssadmin“ zu verhindern.
Einige Ransomware-Varianten erhöhen ihre Effektivität, indem sie die Volume-Schattenkopien entfernen, die unverschlüsselte Kopien der von den Erpressern verschlüsselten Dateien enthalten könnten. Dazu bedienen sie sich unter Umständen des in Windows enthaltenen Tools vssadmin. Wie v berichtet können die Kopien damit gelöscht oder auch der für die Schattenkopien verfügbarer Speicherplatz verändert werden. Letzteres führt dazu, dass alle vorhandenen Snaphots vernichtet werden.
„Wir sehen sehr oft, dass Ransomware alle Schattenkopien per vssadmin löscht. Was wäre, wenn wir diese Anfragen abfangen und die auslösenden Prozesse beenden könnten?“, schreibt Roth auf der GitHub-Seite von Raccine.
Zu diesem Zweck muss die ausführbare Datei des Tools (raccine.exe) per Windows Registry als Debugger für vssadmin.exe registriert werden. Das sorgt auch dafür, dass jedes Mal, wenn vssadmin ausgeführt wird, auch Raccine gestartet wird. Erkennt Raccine einen Prozess, der die Befehle „vssadmin delete“ oder „vssadmin resize shadowstorage“ aufruft, beendet es diesen automatisch.
Bleeping Computer weist darauf hin, dass es auch andere Methoden gibt, um die Schattenkopien mit Windows-Bordmitteln zu löschen. Diese Verfahren könne das Tool bisher nicht bekämpfen.
Roth selbst merkt an, dass sein Tool auch Nachteile hat. Unter anderem unterscheidet es ihm zufolge nicht zwischen schädlichen und legitimen Versuchen, die Schattenkopien per vssadmin zu löschen. Dabei würden unter Umständen auch legitime Backup-Anwendungen beendet.
Auf seiner GitHub-Seite hält Roth auch eine Anleitung für Raccine bereit. Der Einsatz des Tools erfolgt demnach „at your own risk“, also auf Verantwortung des Nutzers.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
