Come evitare la cancellazione delle copie shadow di Windows da parte dei ransomware

Le copie shadow sono alla base di un efficace meccanismo di protezione integrato in Windows che permette di creare copie di backup manuali o automatiche del contenuto delle partizioni presenti su dischi fissi e unità SSD. In caso di problemi si possono recuperare file personali e ripristinare file di sistema.
Dal momento che il servizio volume shadow copy (VSS) consente di operare sulle installazioni “live” di Windows (non è necessario che le immagini vengano create, per esempio, al boot del sistema operativo) esso viene utilizzato da alcuni tra i più famosi programmi di disk imaging come abbiamo visto nell’articolo Punto di ripristino Windows 10 e differenza con copia shadow.

Le copie shadow sono quindi una risorsa preziosa, anche in caso di errore umano e problemi di vario genere rilevati sul sistema Windows in uso.

Come spiegato nell’approfondimento Ransomware: cos’è, come proteggersi e recuperare i file cifrati, tuttavia, sono moltissime le minacce che crittografano i dati personali degli utenti con una chiave a loro tenuta segreta e che contestualmente cancellano le copie shadow in modo da non offrire alcun appiglio per il recupero dei dati senza il pagamento del riscatto.

Il ricercatore Florian Roth ha rilasciato uno strumento software gratuito chiamato Raccine che monitora gli eventuali tentativi di cancellazione delle copie shadow memorizzate sul sistema usando i comandi vssadmin e wmic.

Il tool gratuito è presentato nella pagina dedicata su GitHub ed è scaricabile nell’ultima versione cliccando qui.

Raccine basa il suo funzionamento sull’omonimo eseguibile che va copiato nella cartella d’installazione di Windows (%systemroot%) e sulla chiave Image File Execution Options (IFEO) del registro di Windows.
Essa consente di attivare strumenti di debugging interponendosi tra l’avvio di un eseguibile e la richiesta di avvio proveniente da un utente o da un processo.

Dopo aver caricato Raccine.exe nella cartella principale di Windows, bisognerà cliccare due volte sui file di registro raccine-reg-patch-vssadmin.reg e raccine-reg-patch-wmic.reg per configurare IFEO.

Per annullare qualunque intervento da parte di Raccine e tornare alla configurazione originale, basterà usare il file raccine-reg-patch-uninstall.reg e cancellare l’eseguibile dalla cartella di Windows.

Ovviamente l’utilizzo di Raccine non sostituisce l’utilizzo di adeguate politiche per il backup dei dati e di piani per il disaster recovery: Backup, le migliori strategie per proteggere i dati.

Nell’articolo Password dimenticata Windows 10: esclusivo, come accedere al sistema abbiamo usato proprio IFEO per attivare un meccanismo utile all’accesso su qualunque account Windows.
Altri spunti utili nell’articolo Windows 10, sostituire i programmi di sistema con altre applicazioni.