Raccine-Tool soll Schattenkopien von Windows vor Ransomware schützen

Das Tool Raccine könnte Computer effektiver gegen Verschlüsselungstrojaner absichern. Dafür soll es die Schattenkopien von Windows schützen, die Ransomware in der Regel standardmäßig löscht. Aus Schattenkopien könnten Opfer unter Umständen die unverschlüsselten Original-Dateien wiederherstellen.

Über den Volume Shadow Copy Service (VSS) legt Windows Schattenkopien bestimmter Dateien an. Bei VSS handelt es sich um einen Systemdienst, der Versionsstände erzeugt. Die standardmäßig aktivierte Systemwiederherstellung greift auf solche Schattenkopien zurück. Mit dem kostenlosen Werkzeug ShadowExplorer können Ransomware-Opfer die Schattenkopien in einer Explorer-Ansicht durchsuchen und so mit etwas Glück auf unverschlüsselte Dateiversionen zugreifen.

Schattenkopien können Attacken überleben

Nur leider löschen Erpressungstrojaner die Schattenkopien im Zuge einer Attacke. Genau das soll Raccine verhindern. Das kostenlose Tool Raccine stammt von dem Sicherheitsforscher Florian Roth und es ist auf Github verfügbar. Dort findet man neben dem Tool auch eine Installations- und Deinstallationsanleitung.

Nach der Installation überwacht Raccine als Debugger den Einsatz der für das Löschen von Schattenkopien verantwortlichen ausführbaren Dateien vssadmin.exe und wmic.exe. Will ein Verschlüsselungstrojaner auf einem dieser Wege Schattenkopien löschen, funkt Raccine dazwischen und verhindert das.

Benutzung auf eigene Gefahr

Der Programmierer des Tools weist ausdrücklich darauf hin, dass der Einsatz von Raccine auf eigene Gefahr geschieht. So könnten beispielsweise Backup-Anwendungen, die mit Schattenkopien hantieren, nicht mehr richtig funktionieren und Probleme verursachen. Admins gibt er den Tipp, Logdateien nach dem legitimen Einsatz von beispielsweise vssadmin.exe delete shadows zu durchsuchen, um so den reibungslosen Einsatz von Raccine besser abwägen zu können.

(des)