Un «vaccin» nouvellement publié peut empêcher certaines familles de ransomwares d’effacer les clichés instantanés pour empêcher la récupération de données.

Surnommé «Raccine» et publié par les chercheurs en sécurité Florian Roth et Ollie Whitehouse, le vaccin cible les familles de ransomwares qui exploitent vssadmin.exe pour supprimer tous les clichés instantanés sur une machine compromise.

Un utilitaire légitime sous Windows, vssadmin.exe offre aux utilisateurs la possibilité d’administrer des clichés instantanés, mais est souvent utilisé à des fins malveillantes. Raccine a été conçu pour intercepter la demande d’effacement des clichés instantanés et également pour tuer le processus qui a fait la demande.

Le vaccin fonctionne en appliquant un patch de registre pour intercepter vssadmin.exe invocations.

«Nous enregistrons un débogueur pour vssadmin.exe (et wmic.exe), qui est notre raccine.exe compilé. Raccine est un binaire, qui collecte d’abord tous les PID des processus parents, puis essaie de tuer tous les processus parents », explique Roth sur GitHub.

Compatible avec toutes les versions de Windows à partir de Windows 2000, l’outil applique une méthode plutôt générique pour arrêter les ransomwares, et les modifications qu’il apporte peuvent être annulées. Il est sans agent et ne nécessite donc pas d’exécutable en cours d’exécution ni de service.

Étant donné qu’il a été conçu pour tuer tous les processus qui tentent d’appeler vssadmin.exe supprimer les ombres (ou d’autres combinaisons sur liste noire), l’outil peut avoir un impact sur l’activité des applications légitimes, explique Roth sur la page GitHub de l’outil.

«Vous ne pourrez plus exécuter des commandes qui utilisent les commandes de la liste noire sur une machine raccordée tant que vous n’aurez pas appliqué le correctif de désinstallation raccine-reg-patch-uninstall.reg. Cela pourrait interrompre diverses solutions de sauvegarde qui exécutent cette commande spécifique pendant leur travail. Cela bloquera non seulement cette demande, mais éliminera tous les processus de cet arbre, y compris la solution de sauvegarde et son processus d’appel », déclare Roth.

Le chercheur encourage également les administrateurs à vérifier les journaux pour voir comment …

Voir la source de cette publication