Raccine : Un vaccin pour éviter l'effacement de sauvegardes par les ransomwares - Version imprimable +- TISI (https://www.tisi-fr.com/board) +-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3) +--- Forum : Applicatiøns (https://www.tisi-fr.com/board/forumdisplay.php?fid=5) +--- Sujet : Raccine : Un vaccin pour éviter l'effacement de sauvegardes par les ransomwares (/showthread.php?tid=3231)

Raccine : Un vaccin pour éviter l'effacement de sauvegardes par les ransomwares - Bizzclow - 06-10-2020 Un programme open source baptisé Raccine permettant d'éviter l'effacement de sauvegardes enregistrées dans les volumes de copies shadow utilisant vssadmin.exe., il arrive que les opérateurs malveillants déploient des rançongiciels dotés de capacités pour s'attaquer directement aux sauvegardes. Cela a été le cas ces derniers mois pour Snake ou encore DarkSide qui s'attaquent aux fichiers contenus dans les Shadow Volume Copies des systèmes PC et serveur. Raccine, proposé par le développeur et chercheur en sécurité Florian Roth. Cet outil promet de surveiller l'effacement de shadow volume copies utilisant la commande vssadmin.exe. Raccine fonctionne en enregistrant l'exécutable raccine.exe en tant que débogueur pour vssadmin.exe à l'aide de la clé de registre Windows Options du fichier image contenant une sauvegarde. Une fois que raccine.exe est enregistré en tant que débogueur, chaque fois que vssadmin.exe est exécuté, Raccine vérifiera automatiquement si vssadmin tente de supprimer les images. S'il détecte qu'un processus utilise « vssadmin delete », il éradiquera alors automatiquement le processus, ce qui est généralement effectué avant que le ransomware ne commence à chiffrer les fichiers sur un ordinateur.