GEODASOFT Posted November 15, 2020 Report Share Posted November 15, 2020 Proteja su sistema contra los ataques de ransomware que se sabe que eliminan las instantáneas existentes a través de vssadmin.exe utilizando esta herramienta Raccine es una herramienta diseñada para proporcionar una capa adicional de protección contra ransomware. Teniendo en cuenta que la mayoría de los ataques de ransomware implican eliminar las instantáneas a través de vssadmin.exe, la función de la herramienta es interceptar la solicitud del malware y finalizar el proceso. Es importante tener en cuenta que antes de eliminar los procesos principales, primero la aplicación recopila todos sus PID. En la eventualidad de que no se encuentre malware, la aplicación crea un nuevo proceso utilizando los mismos parámetros. Si encuentra algo sospechoso, comienza a matar todos los procesos. La ventaja de utilizar este método bastante genérico para interceptar el ransomware se debe al hecho de que no es necesario reemplazar ningún archivo del sistema. No hace falta decir que la edición de archivos del sistema podría provocar problemas de integridad. Por otro lado, dado que la aplicación funciona en segundo plano con wmic.exe y vssadmin.exe, significa que la herramienta debe usarse bajo su propio riesgo. Según el desarrollador, una vez que ejecute la herramienta, no podrá ejecutar los comandos de la lista negra en la máquina hasta que aplique el parche de desinstalación. La herramienta no discrimina exactamente bien entre combinaciones legítimas y maliciosas que invocan vssadmin.exe, por lo que puede matar agentes asociados con posibles procesos de respaldo. 2 métodos de instalación Automático Descargue Raccine.zip desde la sección Lanzamiento Extraelo Ejecute raccine-installer.bat Manual Aplique el parche de registro raccine-reg-patch-vssadmin.reg para interceptar las invocaciones de vssadmin.exe Coloque Raccine.exe de la sección de lanzamiento en la RUTA, p. Ej. en \ Windows (Para sistemas de arquitectura i386, use Raccine_x86.exe y cámbiele el nombre a Raccine.exe) Raccine 1.4 Soporte completo x86 Registro de ejecuciones aceptadas (EventID 3) Se movieron todas las cadenas internas estáticas a las reglas YARA para evitar la detección de AV (sin éxito) Configuración de .NET Framework en el instalador Homepage: https://github.com/Neo23x0/Raccine Changelog: https://github.com/Neo23x0/Raccine/releases Download : https://github.com/Neo23x0/Raccine/releases/download/1.4b/Raccine.zip Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now