Hàng ngày, Windows sẽ tạo ra các bản sao lưu của hệ thống và tập tin dữ liệu trên máy của bạn. Sau đó, các bản sao lưu được lưu trữ trong những snapshot Shadow Volume Copy. Những snapshot này có thể được dùng để khôi phục các tập tin nếu chúng bị thay đổi hoặc xóa nhầm.
Với mục tiêu mã hóa dữ liệu của người dùng đòi tiền chuộc, mã độc ransomware không muốn nạn nhân sử dụng tính năng này để khôi phục các tập tin một cách miễn phí. Vì thế, một trong những hành động đầu tiên của ransomware sau khi lây nhiễm là xóa tất cả các tập tin sao lưu Shadow Volume Copy trên máy tính của nạn nhân.
Ransomware sẽ xóa Shadow Volume Copy bằng chính chương trình vssadmin.exe của Microsoft. Câu lệnh để thực hiện thao tác xóa là:
vssadmin delete shadows /all /quiet
"Vắc xin" chống ransomware
Vì thế, nhà nghiên cứu bảo mật Florian Roth đã nghĩ ra một cách để ngăn chặn ransomware. Cụ thể, Roth viết ra một phần mềm có tên Raccine với công dụng là giám sát việc xóa các tập tin Shadow Volume Copy bằng lệnh vssadmin.exe. Raccine được ví như là một liều "vắc xin" chống lại ransomeware.
Raccine hoạt động bằng cách đăng ký tập tin thực thi raccine.exe làm trình gỡ lỗi cho vssadmin.exe qua key registry File Excution Options Windows. Vì thế, mỗi khi vssadmin.exe được thực thi nó cũng khởi chạy Raccine. Và khi đó, Raccine sẽ kiểm tra xem vssadmin có đang cố gắng xóa các tập tin Shadow Volume Copy hay không.
Raccine sẽ tự động ngăn chặn vssadmin thực hiện lệnh xóa. Vì thế, ransomware sẽ không thể thực hiện hành vi của mình.
Phương thức này có thể ngăn chặn rất nhiều ransomware. Tuy nhiên, nó sẽ không có tác dụng với các ransomware mới ra mắt bởi chúng xóa Shadow Volume Copy bằng các lệnh khác như:
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
WMIC.exe shadowcopy delete /nointeractive
Cũng cần lưu ý thêm rằng Raccine sẽ chặn cả các phần mềm hữu ích nếu như chúng sử dụng vssadmin trong quy trình sao lưu.
Roth cho biết anh đang phát triển Raccine để ngăn chặn được cả các ransomware mới. Ngoài ra, Raccine cũng sẽ được cập nhật để bỏ qua các quy trình sử dụng vssadmin mà không gây hại.
Cách cài đặt Raccine
(Chúng tôi không chịu trách nhiệm nếu như máy tính của bạn gặp bất cứ vấn đề gì sau khi cài đặt phần mềm này)
Để cài đặt Raccine bạn cần tải về Raccine.exe tại link sau:
https://github.com/Neo23x0/Raccine/releases/tag/0.2.1
Sau khi tải về, hãy dùng cửa sổ lệnh nâng cao để sao chép Raccine.exe vào thư mục C:\Windows. Tiếp theo, bạn cần tải về tập tin Registry raccine-reg-patch.reg ở link sau:
https://github.com/Neo23x0/Raccine/blob/main/raccine-reg-patch.reg
Tải về xong bạn nhấn đúp vào raccine-reg-patch-reg để cài vào Registry. Kết thúc quá trình, Raccine sẽ được cài đặt làm trình gỡ lỗi cho vssadmin.exe.
Khi cần gỡ Raccine bạn cần chạy tập tin raccine-reg-patch-uninstall.reg mà bạn tải về tại đây:
https://github.com/Neo23x0/Raccine/blob/main/raccine-reg-patch-uninstall.reg
... và xóa bỏ Raccine.exe khỏi C:\Windows.