I ransomware sono la minaccia peggiore che le aziende e i privati possono trovarsi di fronte, un po’ per paura (i.e. i vecchi ransomware polizia di stato) un po’ per aver perso dati preziosi o credibilità.
Un eroe viene in nostro soccorso: Raccine.
Cos’e?
Raccine è un progetto open source atto ad annullare i danni causati dai ransomware creato da Neo23x0; la mente dietro a yargen (strumento per generare automaticamente regole YARA) sfrutta un semplice processo per eliminare il problema dei ransomware, una blacklist di comandi.
Cosa fa
I ransomware hanno la scomoda abitudine di cancellare i nostri volumi shadow (una specie di punti di ripristino) rendendo di fatto impossibile il ripristino delle versioni antecedenti, la crittazione dei file. Il sistema è molto semplice, impedisce l’esecuzione di comandi che distruggono le shadow copy. Fra i punti di forza del programma possiamo annoverare l’esecuzione agent-less, ossia il programma agisce senza generare un servizio o mantenere in esecuzione programmi che occupano preziose risorse, la possibilità di eliminare il programma, nel caso non fosse di nostro gradimento, in maniera semplice e la possibilità di essere eseguito su windows 7 o superiori (aggiornate windows 7 vi espone ad ogni genere di attacchi!).
Le regole YARA
Yet Another Ridicolous Achronim (un altro ridicolo acronimo) consistono in un linguaggio strutturato riguardante i malware che permette di indentificare i programmi o files che si comportano in un certo modo, in modo da poterli identificare come malevoli. Coesistono in una serie di regole che permettono la classificazione e l’identificazione di malware a partire da stringhe, metadati o condizione tipiche di programmi dannosi.
Come agisce
Funziona registrandosi come debugger (programma deputato all’analisi dei programmi e la loro esecuzione) del processo vssadmin (amministratore dei volumi shadow) in modo da intercettare ogni chiamata a questo e impedire l’esecuzione di comandi come vssadmin delete shadow, una delle operazioni preferite da chi vuole far del male. Questo però a volte può impedire l’esecuzione di software lecito per la creazione di copie shadow, pensiamo ad esempio a un’utilità che crea un punto di ripristino eliminandone uno vecchio, Raccine impedirà che questo accada.
Fortunatamente il programma prevede un’esecuzione in modalità di simulazione che consente di testare se la nostra utilità di backup utilizza una delle combinazioni vietate.
Neo23x0 ha pensato proprio a tutto impedendo l’esecuzione di comandi contenti le combinazioni:
delete e shadows (vssadmin, diskshadow)
resize shadowstorage (vssadmin)
delete shadowstorage (vssadmin)
delete shadowcopy (wmic)
delete catalog -quiet (wbadmin)
recoveryenabled (bcedit)
ignoreallfailures (bcedit)
oppure le controparti JAB, SQBFAF, SQBuAH, SUVYI, cwBhA, aWV4I, aQBlAHgA che non sono altro che i comandi di prima codificati e impartiti a powershell.
Come si usa
Molto semplice: basta scaricare dalla pagina github l’archivio ed eseguire raccine-installer.bat; nel caso si voglia tornare alla normalità raccine-reg-patch-uninstall.reg, nella pagina github è disponibile un guida più dettagliata.
Da notare che è possibile pure diffonderlo tramite group policy, molto comodo per gli amministratori che utilizzano active directory.
Lui è solo uno degli eroi che cerca di limitare i danni creati da dai cybercriminali, se volete seguire le sue tracce è necessario che conosciate come i malware svolgono la loro azione il corso Dynamic Malware Analyst vi aiuterà a conoscere come i malware svolgono la loro azione così da poter aiutare il prossimo a sconfiggere la minaccia.
