Proteja su sistema contra los ataques de ransomware que se sabe que eliminan las instantáneas existentes a través de vssadmin.exe utilizando esta herramienta
Raccine es una herramienta diseñada para proporcionar una capa adicional de protección contra ransomware. Teniendo en cuenta que la mayoría de los ataques de ransomware implican eliminar las instantáneas a través de vssadmin.exe, la función de la herramienta es interceptar la solicitud del malware y finalizar el proceso.
Es importante tener en cuenta que antes de eliminar los procesos principales, primero la aplicación recopila todos sus PID. En la eventualidad de que no se encuentre malware, la aplicación crea un nuevo proceso utilizando los mismos parámetros. Si encuentra algo sospechoso, comienza a matar todos los procesos.
La ventaja de utilizar este método bastante genérico para interceptar el ransomware se debe al hecho de que no es necesario reemplazar ningún archivo del sistema. No hace falta decir que la edición de archivos del sistema podría provocar problemas de integridad.
Por otro lado, dado que la aplicación funciona en segundo plano con wmic.exe y vssadmin.exe, significa que la herramienta debe usarse bajo su propio riesgo. Según el desarrollador, una vez que ejecute la herramienta, no podrá ejecutar los comandos de la lista negra en la máquina hasta que aplique el parche de desinstalación. La herramienta no discrimina exactamente bien entre combinaciones legítimas y maliciosas que invocan vssadmin.exe, por lo que puede matar agentes asociados con posibles procesos de respaldo.
2 métodos de instalación
Automático
Descargue Raccine.zip desde la sección Lanzamiento
Extraelo
Ejecute raccine-installer.bat
Manual
Aplique el parche de registro raccine-reg-patch-vssadmin.reg para interceptar las invocaciones de vssadmin.exe
Coloque Raccine.exe de la sección de lanzamiento en la RUTA, p. Ej. en C: \ Windows
(Para sistemas de arquitectura i386, use Raccine_x86.exe y cámbiele el nombre a Raccine.exe)
Raccine 0.7.0
lanzó esto hace 3 horas
Extendido para bloquear infecciones de Emotet con nuevos bloques de PowerShell
Extendido para bloquear las líneas de comando de PowerShell win32_shadowcopy
Raccine 0.6.0
lanzó esto hace 17 horas Comprobaciones adicionales para bcdedit.exe / set {default} bootstatuspolicy ignoreallfailures y bcdedit.exe / set {default} recoveryenabled no by @ Omodaka9375
Homepage: https://github.com/Neo23x0/Raccine
Changelog: https://github.com/Neo23x0/Raccine/releases
Download : - Código:
-
https://github.com/Neo23x0/Raccine/releases/download/0.7.0/Raccine.zip