DonsoftST
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Raccine, un sencillo antiransomware para Windows

Ir abajo

Aporte Raccine, un sencillo antiransomware para Windows

Mensaje por Overclip el Lun 07 Dic 2020, 4:41 pm

Raccine, un sencillo antiransomware para Windows Raccine_logo

Hoy toca hablar de una especie de vacuna (en inglés, vaccine) contra el ransomware (de ahí lo de Raccine Smile) que podemos utilizar en diferentes sistemas Windows para combatir con ciertas posibilidades de éxito esta temida amenaza.
El responsable de la iniciativa es Florian Roth, CTO de Nextron Systems, que ha publicado en Github acerca de este novedoso método, que se diferencia de otros software de tipo antiransomware ya analizados en mi sitio web: RansomOff, AppCheck, RansomStopper o Ransomfree este último ya “difunto”.

Funcionamiento del anti-ransomware

Así que hablamos de un sistema anti-ransomware sencillo -casi diríamos, primitivo- que sin embargo emplea un concepto muy inteligente, porque tal y como lo define su creador:
Neo23x0 escribió:Vemos que el ransomware normalmente elimina todas las shadow copies tras ejecutarse. ¿Y si pudiéramos interceptar la solicitud y matar el proceso responsable? Intentemos crear una simple vacuna.
El uso de este método tiene unas ventajas evidentes:

  1. Es agnóstico (genérico) entre sistemas
  2. No requiere sustituir ejecutables de sistema como vssadmin.exe o wmic.exe, que podrían revertirse cuando se apliquen parches del sistema, por lo que es una solución permanente
  3. Los cambios son fáciles de revertir (al menos para un administrador de sistemas)
  4. Es compatible con sistemas operativos Windows desde 2000 en adelante
  5. Es agent-less, no requiere de otros binarios corriendo en el equipo

Raccine.exe intercepta las llamadas a vssadmin.exe y wmic.exe, actuando como debugger, de forma que el comando final es, por ejemplo
raccine.exe vssadmin.exe delete shadows
El debugger busca combinaciones consideradas peligrosas.
Si no se encuentran, se crea un nuevo proceso sin debugger (como sería el original). En caso de encontrarse, se acaba con todo el arbol del proceso. Raccine nos muestra durante unos segundos una ventana informativa con los procesos detenidos.

Raccine, un sencillo antiransomware para Windows Vssadmin.exe-deleteshadows 

Raccine, un sencillo antiransomware para Windows Raccine-antiransomware

Combinaciones peligrosas

Este proceso detectará, en adelante, las combinaciones consideradas maliciosas por parte del llamadas al proceso vssadmin.exe que impliquen:

Ejecución Elemento

deleteshadows (vssadmin)
resizeshadowstorage (vssadmin)
deleteshadowstorage (vssadmin)
deleteshadowcopy (wmic)
deletecatalog -quiet (wbadmin)

Una vacuna contra el ransomware, aunque conviene saber algo

Igual que ocurre con la vacuna del coronavirus, esta Raccine se va a retrasar todavía algún tiempo hasta ser apta para todos los públicos. Actualmente adolece de ciertas limitaciones que conviene conocer.
No seremos capaces de ejecutar comandos (o programas que usen estos) que impliquen las combinaciones prohibidas en la tabla superior. Esto puede resolverse desinstalando Raccine.exe con la clave de registro:
raccine-reg-patch-uninstall.reg
Mi recomendación es, si tienes programas de copia de seguridad en el equipo y no tienes conocimientos sólidos de informática, no uses esta herramienta, usa algo más tradicional.
Si tienes experiencia con sistemas Windows, intenta revisar los logs de sistema (Visor de Eventos o algún otro parser) para ver antes de nada qué combinaciones de vssadmin.exe podrían ser usadas con frecuencia, antes de empezar.
Por otro lado, este sistema no funciona de momento en sistemas no-Windows, aunque el desarrollador planea una adaptación del proceso para Linux/Mac en el futuro.
Descarga
Si, con todo, quieres probar la herramienta, usa el enlace inferior. La última versión ha sido compilada y subida hace escasas horas, Raccine 0.5.2.

Raccine, un sencillo antiransomware para Windows Mano_s33
Link de la descarga. [Tienes que estar registrado y conectado para ver este vínculo]
Overclip
Overclip
Colaboradores
Colaboradores

Masculino
España
Mensajes Mensajes : 83
Puntos Puntos : 252
Fecha de inscripción : 22/11/2020

Volver arriba Ir abajo

Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.