Спецпроекты

Создана «вакцина» от троянов-шифровальщиков

Безопасность Стратегия безопасности

Эксперт по безопасности нашел способ блокировать деятельность шифровальщиков-вымогателей. Способ весьма эффективный, хотя и не универсальный.

Шифракцина создана

Эксперт по кибербезопасности Флориан Рот (Florian Roth) разработал простой, но действенный способ борьбы с некоторыми видами шифровальщиков, который уже назвал шифракциной — вакциной от шифровальщиков (Raccine — от англ. vaccine и ransomware).

Принцип действия заключается в том, чтобы блокировать процессы, пытающиеся удалить в системе под Windows так называемые теневые копии файлов. Теневыми называются копии, которые Windows (в частности, Windows 10) создает при формировании точки восстановления системы. В случае повреждения обычных копий файлов, существует возможность восстановить их из теневых.

Создатели шифровальщиков об этом, естественно, знают, поэтому первое, что делает большая часть подобных программ, — пытаются уничтожить теневые копии. Еще до того, как начинается процесс шифрования. Довольно часто для этого используется системная утилита vssadmin.exe (синтаксис: vssadmin deletes hadows /all /quiet).

haker600.jpg
«Вакцина от шифровальщиков» защищает теневые копии файлов

Шифракцина Рота регистрируется как отладчик для vssadmin.exe с помощью ключа реестра Image File Execution Options Windows, и, соответственно, запускается автоматически при каждом запуске vssadmin. Если она видит, что какой-то процесс пытается запустить vssadmin и дать ему команду на удаление теневых копий, этот процесс немедленно блокируется. Тем самым шифракцина спасает не только теневые копии, но и все остальные файлы от удаления.

…но это не панацея

Панацеей это, однако, не является: некоторые шифровальщики удаляют теневые копии другими способами. Bleeping Computer приводит такой пример:Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}WMIC.exe shadowcopy delete /nointeractive.

Raccine в этом случае не срабатывает, хотя Рот предполагает добавить возможность блокировать такие команды в будущем. Его шифракцина — это пробный вариант инструмента для борьбы с шифровальщиками, который, к тому же, не отличается избирательностью действия. Некоторые легитимные программы могут использовать vssadmin.exe для удаления теневых копий вне контекста шифрования. Рот планирует добавить список исключений как раз для таких программ.

«Идея интересная, однако на ходу можно придумать сразу несколько сценариев, при которых Raccine обходится, достаточно внести незначительные изменения в код шифровальщика, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Резервное копирование остается наиболее эффективным средством борьбы с шифровальщиками, хотя инструменты вроде Raccine вполне могли бы пополнить "джентльменский набор" защитных решений».