FreeSoft - Raccine - Bảo vệ khỏi Ramsomware | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

FreeSoft Raccine - Bảo vệ khỏi Ramsomware

Hamano Kaito

Moderator
00WBcch.png
Bảo vệ Windows khỏi Ramsomware với công cụ Raccine đơn giản này

Tại sao lại chọn Raccine !?
Chúng tôi các nhà phát triển Raccine đã chú ý và thấy rằng ransomware hay xóa tất cả các bản sao lưu shadow từ vssadmin khi máy nạn nhân bị nhiễm. Vậy điều gì sẽ xảy ra nếu chúng ta có thể chặn các yêu cầu đó và dừng các quá trình thực thi đó đi nhỉ? Vậy thì các bạn hãy thử công cụ Raccine đơn giản ngay và luôn.
XEa4bHU.png


Cách mà công cụ đơn giản này làm việc.

Chúng tôi đã đăng ký trình gỡ rối cho vssadmin.exe (và wmic.exe) từ công cụ biên dịch Raccine và cũng là nhị phân. Công cụ trước tiên sẽ phân tích và thu thập các PID của các quy trình thực thi (cha), sau đó sẽ cố gắng dừng tất cả các quy trình đó.

Về lợi ích khi sử dụng công cụ này:
  • Phương pháp sử dụng khá chung chung
  • Chúng tôi không hoàn toàn thay thế tệp hệ thống (vssadmin hoặc wmic), điều này có thể sẽ dẫn đến các vấn đề về tính toàn vẹn và cũng như là khó để cập nhật từ ứng dụng của chúng tôi nếu có bản cập nhật.
  • Các thay đổi rất dễ hoàn tác lại
  • Làm việc trên tất cả các phiên bản Windows từ Win 2k trở đi
  • Không yêu cầu từ dịch vụ hệ thống để thực thi hoặc bổ sung (không cần tác nhân khác)
Về nhược điểm / cũng như là bất lợi:
  • Việc sử dụng hợp pháp từ vssadmin xóa shadow (hoặc bất kỳ kết hợp từ danh sách đen khác) là không thể
  • Công cụ thậm chí có thể dừng các quy trình khác cố gắng gọi vssadmin để thực thi xóa shadow : ví dụ đơn giản nhất là quá trình backup từ Windows đó là tạo một bản System Restore
  • Công cụ sẽ không bắt được các phương thức của quy trình độc hại nếu chúng không sử dụng vssadmin (ví dụ đơn giản là sử dụng công cụ lịch trình của Windows "schtasks")
Quá trình thực thi của công cụ:
  • Từ thực thi của vssadmin (và wmic) sẽ bị chặn lại và chuyển đến Raccine dưới dạng trình gỡ lỗi (rối) (vssadmin xóa shadow sẽ chuyển thành raccine + vssadmin xóa shadow)
  • Từ đó, công cụ sẽ xử lý các đổi số dòng lệnh và tìm kiếm các kết hợp độc hại
  • Nếu không tìm thấy các kết hợp độc hại nào khác, thì công cụ sẽ tạo một quy trình mới với các tham số dòng lệnh như ban đầu.
  • Nếu tìm thấy các kết hợp độc hại, thì công cụ sẽ thu thập tất cả các PID của quy trình cha và bắt đầu dừng chúng lại (đây phải là quy trình từ phần mềm độc hại như được hiển thị trong ảnh chụp từ bên trên). Raccine sẽ hiển thị một cửa sổ dòng lệnh với các PID đã bị dùng trong khoảng 5 giây và sau đó tự thoát
Các mục kết hợp từ phần mềm độc hại:
  • Xóa và Shadow (Từ vssadmin hoặc diskshadow)
  • Thay đổi kích thước và shadowstorage (Từ vssadmin)
  • Xóa và Lưu trữ (Từ vssadmin)
  • Xóa và Shadowcopy (Từ wmic)
  • Xóa và lập danh mục thêm lệnh -quiet (Từ wbadmin)
  • Win32_shadowcopy hoặc phần tử từ danh sách các lệnh được mã hóa (Từ powershell)
  • Recoverenabled (Từ bcedit)
  • Ignoreallfailures (Từ bcedit)
Danh sách các lệnh được mã hóa từ Powershell: JAB, SQBFAF, SQBuAH, SUVYI, cwBhA, aWV4I, aQBlAHgA và còn nhiều hơn thế nữa.

Kết hợp với Yara:
Bắt đầu từ phiên bản v1.0 thì Raccine đã sử dụng các quy tắc từ YARA để xác định xem dòng lệnh quy trình có độc hai hay không. Các quy tắc từ YARA nằm trong thư mục con ./yara

Ví Dụ: Các bạn vào Website để xem nha.

Cảnh Báo: Sử dụng công cụ này sẽ có những nguy cơ như sau:
  1. Bạn sẽ không thể chạy các lệnh nếu đã có trong danh sách đen, nếu bạn muốn chạy lệnh thì bắc buộc phải gỡ bỏ ứng dụng mới chạy được lệnh. Để gỡ bỏ ứng dụng bạn hãy chạy file accine-reg-patch-uninstall.reg. Điều này có thể phá vỡ các giải pháp chạy lệnh sao lưu khác nhau cụ thể. Công cụ không những chặn yêu cầu mà nó còn chặn tất cả các quy trình trong cây lệnh bao gồm cả các giải pháp sau lưu và quá trình thực thi
  2. Nếu bạn có một công cụ giám sát bảo mật mà có cùng một tính năng giống Raccine là kiểm tra các bản ghi từ vssadmin xóa shadow, vssadmin thay đổi kích thước, shdowstorage... hoặc các dòng lệnh thì các bạn không nên sử dụng kèm theo Raccine
Link Mã Nguồn Và HomePage | Link DownLoad |
 
Sửa lần cuối:

Hamano Kaito

Moderator
What's new in Raccine 1.4
November 15, 2020
  • Full x86 support
  • Log of accepted executions (EventID 3)
  • Moved all static internal strings into YARA rules to avoid AV detection (without success)
  • NET Framework setup in installer
 

Hamano Kaito

Moderator

What's new in Raccine 1.4.3 Beta​

May 16, 2021
  • Integrity checks in installer

New in Raccine 1.4.2 Beta (March 24, 2021)​

  • Feat: add taskkill.exe interception to the coverage
  • Fix: pass trough of exit codes of the intercepted processes

New in Raccine 1.4.1 Beta (December 21, 2020)​

  • Fix: issues with some rule updates causing problems when rules contain different types of line breaks
 


Top