Windows Schattenkopien schützen

2. August 2016

crypt-Virus

Nicht erst seit Locky ist Ransomware zu einer der übelsten Plagen für PC-Nutzer geworden. Die Schadprogramme verschlüsseln die Dateien, wie Fotos und Dokumente, und fordern dann von den entsetzten Nutzern ein Lösegeld. Um Ihre Erpressungs-Kulisse aufzubauen, löschen einige Crypt-Viren alle auf dem Windows-System vorhandenen Wiederherstellungspunkte und Schattenkopien. Klar, wer zahlt schon ein Lösegeld, wenn er seine verschlüsselten Daten mit einem von Windows oder Z-VSScopy angelegten Wiederherstellungspunkt retten kann?

Das teuflische an den Verschlüsselungstrojanern ist, dass diese Übeltäter so genial einfach gestrickt sind und u. a. das Windows Kommandozeilen-Tool vssadmin.exe dazu missbrauchen, um die Schattenkopien zu löschen.

Böse Zungen behaupten deshalb, dass das Kommando vssadmin.exe mehr von Verschlüsselungs-Trojanern benutzt wird als von Administratoren, für die es ursprünglich gedacht war.

Relativ schnell tauchten dann auch einige Skripte im Internet auf, welche durch einfaches Löschen oder Umbenennen von vssadmin.exe die Schattenkopien vor dem Löschen schützen sollten. Der bekannteste Script dürfte der von Lawrence Abrams von bleepingcomputer.com sein.

Leider war die Sache nicht zu Ende gedacht worden, denn solche einfachen Tricks lassen sich in wenigen Sekunden mit dem Systemdatei-Überprüfungsprogramm (SFC.exe)  wieder abschalten. Dies soll jedoch Abrams‘ Verdienst nicht schmälern, der mit seinem Script gezeigt hat, das man das Spielfeld nicht tatenlos den Crypt-Viren überlassen sollte.

wmic.exe – Es geht noch dreister!

Das Kommando vssadmin.exe, das im wahrsten Sinne des Wortes ein Schattendasein im Windows-Systemverzeichnis führt, benötigt zwingend administrative Rechte zum Löschen der Schattenkopien, welche aber für die perfide Arbeit der Verschlüsselungstranjer nicht unbedingt notwendig sind.

Neuere Vertreter dieser üblen Plage, wie z.B. TeslaCrypt oder der trun-Trojaner, versuchen mit Hilfe des Windows-Tools wmic.exe die vorhandenen Schattenkopien zu löschen. Dies muss jedoch mit Administrator-Rechten geschehen und erzeugt wegen der Benutzerkontensteuerung (UAC)  folgende Sicherheitsabfrage.

Wmic.exe UAC-Abfrage

Die Abfrage sieht erstmal harmlos aus und wird allzu oft einfach durch den Anwender bestätigt. Selbst erfahrende Anwender fallen auf diesen üblen Trick rein. Erst ein Klick auf die Button Details anzeigen gibt für einen Profi zu erkennen, was eigentlich passieren soll:

Wmic-UAC Details

Schattenkopien mit Z-VSScopy schützen

Z-VSScopy kann die Löschfunktion der beiden Windows Werkzeuge wbadmin.exe und vssadmin.exe blockieren, ohne die weitere Nutzung einzuschränken. Das Programm nimmt dazu einen entsprechenden Eingriff in das Betriebssystem vor. Alle Zugriffe auf diese beiden Kommandos werden dann zur weiteren Kontrolle im Monitor-Logbuch von Z-VSScopy erfasst. Sie erhalten damit einen Überblick, welche weiteren Anwendungen auf Ihrem System diese beiden Programme evtl. benötigen.

Schattenkopien mit VSSprotect schützen

Z-VSScopy kann Ihren Computer nicht vor einen Befall mit Ransomware schützen. Der Schutz der Schattenkopien kann aber die Zeit zur Wiederherstellung Ihres PCs drastisch verkürzen. Der passende ShadowExplorer ist bereits in Z-VSScopy enthalten.

ShadowExplorer

Vorbeugen ist besser als heilen!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Themenpapier (PDF) veröffentlicht.  Das PDF informiert über Ransomware und Hgibt ilfestellung zum Umgang mit dieser Bedrohung.

 

Die Shareware-Version von Z-VSScopy läuft zeitlich begrenzt (30 Tage) auf Windows 10, 8.1, 8, 7, Vista und Windows Server 2012 (R2),  2008 (R2) und Windows SBS.

Info Mehr Informationen über Z-VSScopy – www.z-dbackup.de

Info Mehr Informationen über Z-VSScopy – ShadowExplorer

Download Download der Shareware Version von Z-VSScopy

Shop Z-VSScopy bestellen