کمیته رکن چهارم – برنامه جدیدی به نام Raccine یک واکسن باجافزار است که با استفاده از برنامه vssadminRaccine.exe مایکروسافت، فرایندهایی را که سعی در حذف Shadow Volume دارند از بین میبرد.
برنامه جدیدی به نام واکسن باجافزار ایجاد شده که با استفاده از برنامه vssadmin.exe مایکروسافت، فرایندهایی را که سعی در حذف Shadow Volume دارند از بین میبرد.
ویندوز هر روز از سیستم و فایلهای شما نسخه پشتیبان تهیه کرده و آنها را در Shadow Volume Copy snapshots ذخیره میکند.
در صورت تغییر یا حذف فایلها، میتوان از این snapshots ها برای بازیابی استفاده کرد. از آنجا که باجافزارها نمیخواهند قربانیان از این ویژگی برای بازیابی فایلها بهصورت رایگان استفاده کنند، یکی از اولین کارهایی که هنگام اجرای آنها انجام میشود حذف تمام نسخههای Shadow Volume در رایانه است.
یکی از روشهای حذف Shadow Volumes استفاده از دستور vssadmin.exe است:
vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=۴۰۱MB
روش دیگر استفاده از دستور تغییر اندازه برای تعیین میزان ذخیره فایل است که ویندوز به نسخههای Shadow Volumes اختصاص میدهد. این دستور عکسهای موجود را نیز پاک میکند:
vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=۴۰۱MB
همچنین یکی از محققان امنیتی Florian Roth واکسن باجافزار Raccine را منتشر کرد که با استفاده از دستور vssadmin.exe، میتواند نسخههای Shadow Volumes را حذف کند.
GitHub Raccine توضیح میدهد که: «باجافزار اغلب نسخههای shadow را با استفاده از vssadmin پاک میکند. اگر ما فقط بتوانیم این درخواست را رد کنیم و روند فراخوانی را از بین ببریم، چه خواهد شد؟ بهترین راه ایجاد یک واکسن ساده است.»
Raccine با ثبت raccine.exe که به عنوان عیبیاب vssadmin.exe اجرا میشود با استفاده از کلید رجیستری ویندوز Image File Execution Options کار میکند.
هنگامی که raccine.exe به عنوان عیب یاب ثبت میشود، هر زمان که vssadmin.exe اجرا شود ، Raccine را نیز راهاندازی و بررسی میکند که آیا vssadmin نسخههای shadow را حذف میکند یا خیر.
اگر تشخیص دهد که فرآیندی از “vssadmin delete” یا “vssadmin resize shadowstorage” استفاده میکند به طور خودکار روند را خاتمه میدهد. این کار معمولاً قبل از شروع رمزگذاری فایلها بر روی رایانه، توسط باجافزار انجام میشود.
در حالی که این روش باعث جلوگیری رمزگذاری انبوهی از باجافزارها میشود، اما برخی از خانوادههای باجافزار مدرن حجم shadow را با استفاده از دستورات دیگر حذف میکنند .
Get-WmiObject Win۳۲_Shadowcopy | ForEach-Object {$_.Delete();}
WMIC.exe shadowcopy delete /nointeractive
لازم به ذکر است که Raccine ممکن است نرمافزار قانونی را که از vssadmin.exe بهعنوان بخشی از برنامههای پشتیبان خود استفاده میکند، خاتمه دهد.
Roth قصد دارد این قابلیت را اضافه کند که به برنامههای خاص اجازه دهد در آینده Raccine را دور بزنند تا به اشتباه خاتمه نیابند.
برای نصب Raccine ، می توانید این مراحل را دنبال کنید:
– Raccine.exe را دانلود کنید و از یک خط فرمان سطح بالا برای کپی کردن آن در پوشه C: \ Windows استفاده کنید.
– فایل رجیستری raccine-reg-patch.reg را دانلود کنید و روی آن دوبار کلیک کنید. هنگامی که از شما خواسته شد مطالب را در رجیستری ادغام کنید ، اجازه دهید این کار را انجام دهد.
Raccine اکنون به عنوان عیبیاب بر دستورات vssadmin.exe که برای حذف نسخههای حجم shadow ثبت شده است، نظارت میکند.
– اگر متوجه شدید که Raccine در حال خاتمه دادن به برنامه های قانونی مورد استفاده شما است، میتوانید با اجرای پرونده رجیستری raccine-reg-patch-uninstall.reg و حذف C: \ windows \ raccine.exe آن را پاک کنید.
– پس از حذف Raccine، فرایندهایی که سعی دارند نسخههای حجم shadow را با استفاده از vssadmin.exe حذف کنند خاتمه نمییابد.
منبع : مرکز مدیریت راهبردی افتا
