Эксперт в области интернет-безопасности Флориан Рот разработал утилиту, названную Raccine (“Ransomware vaccine”, вакцина от вымогателей). Она автоматически ликвидирует процессы, которые пытаются удалить теневые копии в Windows.
Функция теневого копирования позволяет восстанавливать файлы без выплаты выкупа, поэтому практически любой вирус-вымогатель первым делом удаляет все теневые копии файлов с устройства жертвы. Зачастую это происходит с помощью команды vssadmin.exe.
Для того, чтобы помешать мошенникам удалить теневые копии файлов, Raccine регистрирует файл raccine.exe, связанный с vssadmin.exe и запускается вместе с админской командой. После запуска команды Raccine проверяет vssadmin на предмет попыток удаления теневых копий. Если vssadmin всё-таки пытается удалить теневые копии файлов жертвы, то Raccine автоматически завершает процесс, чем мешает работе шифровальщика.
Рот обещает расширить функциональность Raccine, так как некоторые современные вирусы-вымогатели удаляют теневые копии жертвы с помощью других команд, а в таких случаях утилита на данный момент не сможет защитить файлы пользователей.
