Der deutsche Sicherheitsforscher Florian Roth, der für den Dietzenbacher Anbieter Nextron Systems arbeitet, hat als „Wochenendprojekt“ ein Tool entwickelt, das die Folgen eines Ransomwareangriffs mindern kann. Die Raccine genannte App ist in der Lage, das Löschen von Volume-Schattenkopien über den Befehl „vssadmin“ zu verhindern.
Einige Ransomware-Varianten erhöhen ihre Effektivität, indem sie die Volume-Schattenkopien entfernen, die unverschlüsselte Kopien der von den Erpressern verschlüsselten Dateien enthalten könnten. Dazu bedienen sie sich unter Umständen des in Windows enthaltenen Tools vssadmin. Wie v berichtet können die Kopien damit gelöscht oder auch der für die Schattenkopien verfügbarer Speicherplatz verändert werden. Letzteres führt dazu, dass alle vorhandenen Snaphots vernichtet werden.
„Wir sehen sehr oft, dass Ransomware alle Schattenkopien per vssadmin löscht. Was wäre, wenn wir diese Anfragen abfangen und die auslösenden Prozesse beenden könnten?“, schreibt Roth auf der GitHub-Seite von Raccine.
Zu diesem Zweck muss die ausführbare Datei des Tools (raccine.exe) per Windows Registry als Debugger für vssadmin.exe registriert werden. Das sorgt auch dafür, dass jedes Mal, wenn vssadmin ausgeführt wird, auch Raccine gestartet wird. Erkennt Raccine einen Prozess, der die Befehle „vssadmin delete“ oder „vssadmin resize shadowstorage“ aufruft, beendet es diesen automatisch.
Bleeping Computer weist darauf hin, dass es auch andere Methoden gibt, um die Schattenkopien mit Windows-Bordmitteln zu löschen. Diese Verfahren könne das Tool bisher nicht bekämpfen.
Roth selbst merkt an, dass sein Tool auch Nachteile hat. Unter anderem unterscheidet es ihm zufolge nicht zwischen schädlichen und legitimen Versuchen, die Schattenkopien per vssadmin zu löschen. Dabei würden unter Umständen auch legitime Backup-Anwendungen beendet.
Auf seiner GitHub-Seite hält Roth auch eine Anleitung für Raccine bereit. Der Einsatz des Tools erfolgt demnach „at your own risk“, also auf Verantwortung des Nutzers.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
