Saltar al contenido

Raccine, un sencillo antiransomware para Windows

raccine_logo

Hoy toca hablar de una especie de vacuna (en inglés, vaccine) contra el ransomware (de ahí lo de Raccine :)) que podemos utilizar en diferentes sistemas Windows para combatir con ciertas posibilidades de éxito esta temida amenaza.

El responsable de la iniciativa es Florian Roth, CTO de Nextron Systems, que ha publicado en Github acerca de este novedoso método, que se diferencia de otros software de tipo antiransomware ya analizados en mi sitio web: RansomOff, AppCheck, RansomStopper o RansomFree, este último ya “difunto”.

Funcionamiento del anti-ransomware

Así que hablamos de un sistema anti-ransomware sencillo -casi diríamos, primitivo- que sin embargo emplea un concepto muy inteligente, porque tal y como lo define su creador:

Vemos que el ransomware normalmente elimina todas las shadow copies tras ejecutarse. ¿Y si pudiéramos interceptar la solicitud y matar el proceso responsable? Intentemos crear una simple vacuna.

Neo23x0

El uso de este método tiene unas ventajas evidentes:

  1. Es agnóstico (genérico) entre sistemas
  2. No requiere sustituir ejecutables de sistema como vssadmin.exe o wmic.exe, que podrían revertirse cuando se apliquen parches del sistema, por lo que es una solución permanente
  3. Los cambios son fáciles de revertir (al menos para un administrador de sistemas)
  4. Es compatible con sistemas operativos Windows desde 2000 en adelante
  5. Es agent-less, no requiere de otros binarios corriendo en el equipo

Raccine.exe intercepta las llamadas a vssadmin.exe y wmic.exe, actuando como debugger, de forma que el comando final es, por ejemplo

raccine.exe vssadmin.exe delete shadows

El debugger busca combinaciones consideradas peligrosas.

Si no se encuentran, se crea un nuevo proceso sin debugger (como sería el original). En caso de encontrarse, se acaba con todo el arbol del proceso. Raccine nos muestra durante unos segundos una ventana informativa con los procesos detenidos.

Combinaciones peligrosas

Este proceso detectará, en adelante, las combinaciones consideradas maliciosas por parte del llamadas al proceso vssadmin.exe que impliquen:

EjecuciónElemento
deleteshadows (vssadmin)
resizeshadowstorage (vssadmin)
deleteshadowstorage (vssadmin)
deleteshadowcopy (wmic)
deletecatalog -quiet (wbadmin)

Una vacuna contra el ransomware, aunque conviene saber algo

Igual que ocurre con la vacuna del coronavirus, esta Raccine se va a retrasar todavía algún tiempo hasta ser apta para todos los públicos. Actualmente adolece de ciertas limitaciones que conviene conocer.

No seremos capaces de ejecutar comandos (o programas que usen estos) que impliquen las combinaciones prohibidas en la tabla superior. Esto puede resolverse desinstalando Raccine.exe con la clave de registro:

raccine-reg-patch-uninstall.reg

Mi recomendación es, si tienes programas de copia de seguridad en el equipo y no tienes conocimientos sólidos de informática, no uses esta herramienta, usa algo más tradicional.

Si tienes experiencia con sistemas Windows, intenta revisar los logs de sistema (Visor de Eventos o algún otro parser) para ver antes de nada qué combinaciones de vssadmin.exe podrían ser usadas con frecuencia, antes de empezar.

Por otro lado, este sistema no funciona de momento en sistemas no-Windows, aunque el desarrollador planea una adaptación del proceso para Linux/Mac en el futuro.

Descarga

Si, con todo, quieres probar la herramienta, usa el enlace inferior. La última versión ha sido compilada y subida hace escasas horas, Raccine 0.5.2.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Raccine, un sencillo antiransomware para Windows Deja un comentario

  1. Muchas gracias por descubrirnos una herramienta más contra el ramsonware, aunque en esta ocasión, efectivamente, no sea apta “para todos los públicos” como comentas y como pude leer en el github del autor.

    Siempre tras tu estela 😉

    Salu2

    Le gusta a 1 persona

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: