Der deutsche Sicherheitsforscher Florian Roth, der für den Dietzenbacher Anbieter Nextron Systems arbeitet, hat als „Wochenendprojekt“ ein Tool entwickelt, das die Folgen eines Ransomwareangriffs mindern kann. Die Raccine genannte App ist in der Lage, das Löschen von Volume-Schattenkopien über den Befehl „vssadmin“ zu verhindern.
Einige Ransomware-Varianten erhöhen ihre Effektivität, indem sie die Volume-Schattenkopien entfernen, die unverschlüsselte Kopien der von den Erpressern verschlüsselten Dateien enthalten könnten. Dazu bedienen sie sich unter Umständen des in Windows enthaltenen Tools vssadmin. Wie v berichtet können die Kopien damit gelöscht oder auch der für die Schattenkopien verfügbarer Speicherplatz verändert werden. Letzteres führt dazu, dass alle vorhandenen Snaphots vernichtet werden.
„Wir sehen sehr oft, dass Ransomware alle Schattenkopien per vssadmin löscht. Was wäre, wenn wir diese Anfragen abfangen und die auslösenden Prozesse beenden könnten?“, schreibt Roth auf der GitHub-Seite von Raccine.
Zu diesem Zweck muss die ausführbare Datei des Tools (raccine.exe) per Windows Registry als Debugger für vssadmin.exe registriert werden. Das sorgt auch dafür, dass jedes Mal, wenn vssadmin ausgeführt wird, auch Raccine gestartet wird. Erkennt Raccine einen Prozess, der die Befehle „vssadmin delete“ oder „vssadmin resize shadowstorage“ aufruft, beendet es diesen automatisch.
Bleeping Computer weist darauf hin, dass es auch andere Methoden gibt, um die Schattenkopien mit Windows-Bordmitteln zu löschen. Diese Verfahren könne das Tool bisher nicht bekämpfen.
Roth selbst merkt an, dass sein Tool auch Nachteile hat. Unter anderem unterscheidet es ihm zufolge nicht zwischen schädlichen und legitimen Versuchen, die Schattenkopien per vssadmin zu löschen. Dabei würden unter Umständen auch legitime Backup-Anwendungen beendet.
Auf seiner GitHub-Seite hält Roth auch eine Anleitung für Raccine bereit. Der Einsatz des Tools erfolgt demnach „at your own risk“, also auf Verantwortung des Nutzers.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Durch diese SEO-Maßnahmen hat Google auch Webshops für Aufkleber gern und wird sie ranken.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
