유틸리티 Raccine 1.4.4
2021.06.02 00:38
vssadmin.exe을 통해 기존 섀도 복사본을 삭제하는 것으로 알려진 랜섬웨어 공격으로부터 이 도구를 사용하여 실행 시스템을 보호합니다.
Raccine은 랜섬웨어로부터 추가적인 보호 계층을 제공하도록 설계된 도구입니다. 대부분의 랜섬웨어 공격에는 vssadmin..exe을 통해 섀도 복사본을 삭제하는 작업이 수반됩니다. 툴의 역할은 멀웨어의 요청을 차단하고 프로세스를 죽이는 것이다.
상위 프로세스를 제거하기 전에 먼저 앱이 모든 PID를 수집합니다. 악성 프로그램이 발견되지 않는 경우, 앱은 동일한 매개 변수를 사용하여 새 프로세스를 만듭니다. 의심스러운 점이 발견되면 모든 프로세스를 죽이기 시작합니다.
이 일반적인 방법을 사용하여 랜섬웨어를 가로챌 수 있는 이점은 시스템 파일을 교체할 필요가 없다는 사실에서 비롯됩니다. 시스템 파일을 편집하면 무결성 문제가 발생할 수 있음은 두말할 나위도 없다.
반면에, 앱은 배경에서 wmic로 작동하기 때문에.exe 및 vssadmin을 선택합니다.exit는 사용자 자신의 위험을 무릅쓰고 도구를 사용해야 함을 의미합니다. 개발자에 따르면 도구를 실행한 후에는 제거 패치를 적용할 때까지 시스템에서 블랙리스트 명령을 실행할 수 없습니다. 이 도구는 vssadmin을 호출하는 합법적인 조합과 악의적인 조합을 정확하게 구분하지 않습니다.잠재적인 백업 프로세스와 연결된 에이전트를 제거할 수 있습니다.
2가지 설치 방법
자동
릴리스 섹션에서 Raccine.zip 다운로드
추출
Raccine-installer.bat를 실행
수동
레지스트리 패치 raccine-reg-patch-vssadmin.reg를 적용하여 vssadmin.exe의 호출을 가로 챌 수 있습니다
C:\Windows경로의 릴리스 섹션에서 raccine.exe를 배치
(i386 아키텍처 시스템의 경우 Raccine_x86.exe를 사용하고 Raccine.exe로 이름을 바꿉니다.)
Home: https://github.com/Neo23x0/Raccine
Download: https://github.com/Neo23x0/Raccine/releases/download/1.4.4/Raccine.zip
댓글 [1]
-
홍이잠 2021.06.02 12:05
좋은자료 감사합니다.. 즐겁고 행복한 시간 되세요♡