Windows Schattenkopien schützen

crypt-Virus

Nicht erst seit Locky ist Ransomware zu einer der übelsten Plagen für PC-Nutzer geworden. Die Schadprogramme verschlüsseln die Dateien, wie Fotos und Dokumente, und fordern dann von den entsetzten Nutzern ein Lösegeld. Um Ihre Erpressungs-Kulisse aufzubauen, löschen einige Crypt-Viren alle auf dem Windows-System vorhandenen Wiederherstellungspunkte und Schattenkopien. Klar, wer zahlt schon ein Lösegeld, wenn er seine verschlüsselten Daten mit einem von Windows oder Z-VSScopy angelegten Wiederherstellungspunkt retten kann?

Das teuflische an den Verschlüsselungstrojanern ist, dass diese Übeltäter so genial einfach gestrickt sind und u. a. das Windows Kommandozeilen-Tool vssadmin.exe dazu missbrauchen, um die Schattenkopien zu löschen.

Böse Zungen behaupten deshalb, dass das Kommando vssadmin.exe mehr von Verschlüsselungs-Trojanern benutzt wird als von Administratoren, für die es ursprünglich gedacht war.

Relativ schnell tauchten dann auch einige Skripte im Internet auf, welche durch einfaches Löschen oder Umbenennen von vssadmin.exe die Schattenkopien vor dem Löschen schützen sollten. Der bekannteste Script dürfte der von Lawrence Abrams von bleepingcomputer.com sein.

Leider war die Sache nicht zu Ende gedacht worden, denn solche einfachen Tricks lassen sich in wenigen Sekunden mit dem Systemdatei-Überprüfungsprogramm (SFC.exe)  wieder abschalten. Dies soll jedoch Abrams’ Verdienst nicht schmälern, der mit seinem Script gezeigt hat, das man das Spielfeld nicht tatenlos den Crypt-Viren überlassen sollte.

wmic.exe – Es geht noch dreister!

Weiterlesen