Raccine, un sencillo antiransomware para Windows
Hoy toca hablar de una especie de vacuna (en inglés, vaccine) contra el ransomware (de ahí lo de Raccine :)) que podemos utilizar en diferentes sistemas Windows para combatir con ciertas posibilidades de éxito esta temida amenaza.
El responsable de la iniciativa es Florian Roth, CTO de Nextron Systems, que ha publicado en Github acerca de este novedoso método, que se diferencia de otros software de tipo antiransomware ya analizados en mi sitio web: RansomOff, AppCheck, RansomStopper o RansomFree, este último ya «difunto».
Funcionamiento del anti-ransomware
Así que hablamos de un sistema anti-ransomware sencillo -casi diríamos, primitivo- que sin embargo emplea un concepto muy inteligente, porque tal y como lo define su creador:
Vemos que el ransomware normalmente elimina todas las shadow copies tras ejecutarse. ¿Y si pudiéramos interceptar la solicitud y matar el proceso responsable? Intentemos crear una simple vacuna.
Neo23x0
El uso de este método tiene unas ventajas evidentes:
- Es agnóstico (genérico) entre sistemas
- No requiere sustituir ejecutables de sistema como vssadmin.exe o wmic.exe, que podrían revertirse cuando se apliquen parches del sistema, por lo que es una solución permanente
- Los cambios son fáciles de revertir (al menos para un administrador de sistemas)
- Es compatible con sistemas operativos Windows desde 2000 en adelante
- Es agent-less, no requiere de otros binarios corriendo en el equipo
Raccine.exe intercepta las llamadas a vssadmin.exe y wmic.exe, actuando como debugger, de forma que el comando final es, por ejemplo
raccine.exe vssadmin.exe delete shadows
El debugger busca combinaciones consideradas peligrosas.
Si no se encuentran, se crea un nuevo proceso sin debugger (como sería el original). En caso de encontrarse, se acaba con todo el arbol del proceso. Raccine nos muestra durante unos segundos una ventana informativa con los procesos detenidos.
Combinaciones peligrosas
Este proceso detectará, en adelante, las combinaciones consideradas maliciosas por parte del llamadas al proceso vssadmin.exe que impliquen:
| Ejecución | Elemento |
|---|---|
| delete | shadows (vssadmin) |
| resize | shadowstorage (vssadmin) |
| delete | shadowstorage (vssadmin) |
| delete | shadowcopy (wmic) |
| delete | catalog -quiet (wbadmin) |
Una vacuna contra el ransomware, aunque conviene saber algo
Igual que ocurre con la vacuna del coronavirus, esta Raccine se va a retrasar todavía algún tiempo hasta ser apta para todos los públicos. Actualmente adolece de ciertas limitaciones que conviene conocer.
No seremos capaces de ejecutar comandos (o programas que usen estos) que impliquen las combinaciones prohibidas en la tabla superior. Esto puede resolverse desinstalando Raccine.exe con la clave de registro:
raccine-reg-patch-uninstall.reg
Mi recomendación es, si tienes programas de copia de seguridad en el equipo y no tienes conocimientos sólidos de informática, no uses esta herramienta, usa algo más tradicional.
Si tienes experiencia con sistemas Windows, intenta revisar los logs de sistema (Visor de Eventos o algún otro parser) para ver antes de nada qué combinaciones de vssadmin.exe podrían ser usadas con frecuencia, antes de empezar.
Por otro lado, este sistema no funciona de momento en sistemas no-Windows, aunque el desarrollador planea una adaptación del proceso para Linux/Mac en el futuro.
Descarga
Si, con todo, quieres probar la herramienta, usa el enlace inferior. La última versión ha sido compilada y subida hace escasas horas, Raccine 0.5.2.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Muchas gracias por descubrirnos una herramienta más contra el ramsonware, aunque en esta ocasión, efectivamente, no sea apta «para todos los públicos» como comentas y como pude leer en el github del autor.
Siempre tras tu estela 😉
Salu2
😃👌