Crypt-Viren

Windows Schattenkopien schützen

von

crypt-Virus

Nicht erst seit Locky ist Ransomware zu einer der übelsten Plagen für PC-Nutzer geworden. Die Schadprogramme verschlüsseln die Dateien, wie Fotos und Dokumente, und fordern dann von den entsetzten Nutzern ein Lösegeld. Um Ihre Erpressungs-Kulisse aufzubauen, löschen einige Crypt-Viren alle auf dem Windows-System vorhandenen Wiederherstellungspunkte und Schattenkopien. Klar, wer zahlt schon ein Lösegeld, wenn er seine verschlüsselten Daten mit einem von Windows oder Z-VSScopy angelegten Wiederherstellungspunkt retten kann?

Das teuflische an den Verschlüsselungstrojanern ist, dass diese Übeltäter so genial einfach gestrickt sind und u. a. das Windows Kommandozeilen-Tool vssadmin.exe dazu missbrauchen, um die Schattenkopien zu löschen.

Böse Zungen behaupten deshalb, dass das Kommando vssadmin.exe mehr von Verschlüsselungs-Trojanern benutzt wird als von Administratoren, für die es ursprünglich gedacht war.

Relativ schnell tauchten dann auch einige Skripte im Internet auf, welche durch einfaches Löschen oder Umbenennen von vssadmin.exe die Schattenkopien vor dem Löschen schützen sollten. Der bekannteste Script dürfte der von Lawrence Abrams von bleepingcomputer.com sein.

Leider war die Sache nicht zu Ende gedacht worden, denn solche einfachen Tricks lassen sich in wenigen Sekunden mit dem Systemdatei-Überprüfungsprogramm (SFC.exe)  wieder abschalten. Dies soll jedoch Abrams’ Verdienst nicht schmälern, der mit seinem Script gezeigt hat, das man das Spielfeld nicht tatenlos den Crypt-Viren überlassen sollte.

wmic.exe – Es geht noch dreister!

Weiterlesen

Z-VSScopy Shadow Explorer – VSS einfach Verwalten

von

ShadowExplorerZ-VSScopy ist ein einfach zu bedienendes Frontend für den Zugriff auf den Volume Shadow Copy Service (VSS) und ermöglicht nicht nur eine übersichtliche Verwaltung, sondern auch den direkten Zugriff auf einzelne Dateien und Verzeichnisse der VSS-basierten Schattenkopien über den eingebauten Shadow Explorer.

Der Windows-Dienst Volume Shadow Copy Service (VSS) dient zur einfachen Erzeugung und Bereitstellung von Versionsständen, sogenannten Snapshots bzw. Schattenkopien. Am bekanntesten sollte aber seine Funktion zum Anlegen der Wiederherstellungspunkte sein, mit deren Hilfe man seinen Computer auf einen früheren Systemstatus (z.B. nach einer verunglückten Programminstallation) zurücksetzen kann.

Der Volumenschattenkopie-Dienst wurde bereits mit dem Betriebssystem Windows XP eingeführt und verrichtet in erweiterter Form auch unter Windows 11 und 10, von den meisten Anwendern unbemerkt, seine nützliche Arbeit.

In Verbindung mit dem Task-Scheduler Z-Cron lassen sich aber auch unkompliziert zeitgesteuerte Schattenkopien oder Systemwiederherstellungspunkte anlegen. Diese Kombination hat mir schon öfters den Tag gerettet, da ich, auch ohne mein Backup vom Vortag zu bemühen, auf versehentlich gelöschte Dateien oder Verzeichnisse schnell zugreifen konnte.

Weiterlesen