Cybersecurity

Devi disabilitare VSSadmin.exe di Windows perché è un alleato dei CryptoVirus e non del sistemista

09 Febbraio 2016

Shadows Volume Copies è una funzionalità di Windows introdotta a partire da Windows Vista, ma diventata “famosa” quando sono comparsi i primi CryptoVirus.
Detto in poche parole Shadow Volume Copies fa una copia del sistema e dei tuoi dati (che normalmente risiedono sul disco C:) automaticamente, senza che tu debba fare nulla.
Non è certo un buon metodo di backup ma diciamo che anche se tu non lo sai sul tuo PC c’è una copia di riserva del tuo sistema e del tuo lavoro.
 
Se questo servizio automatico di Windows salva da solo il sistema e i dati, perché dovresti disattivarlo proprio ora che sono in circolazione questi temibili virus che criptano i dati?
In effetti il dubbio è lecito, anche perché proprio io ho scritto un articolo su come recuperare i dati con degli strumenti che fanno uso di questo copie “segrete”.

I virus che cryptano sono consapevoli del lavoro che svolge il servizio di Windows Shadow Volume Copies.
Poiché i creatori del virus non vogliono che tu riesca a recuperare i dati (così poi paghi il riscatto), è nel loro interesse distruggere le copie dei dati che Windows crea automaticamente.
Infatti la maggior parte dei virus che cryptano i dati (CryptoLocker, CryptoWall, TeslaCrypt e le loro varianti) prima di cifrare i dati mandano in esecuzione un comando terribile
 
vssadmin.exe Delete Shadows /All /Quiet
 
Ossia un comando che cancella tutte le copie di sicurezza che Windows aveva fatto.
Questo è quello che fanno i recenti virus: distruggono le tue copie di riserva.
 
Che fare quindi? Qual è la soluzione?
Un’idea potrebbe essere quella di cambiare nome a questo comando, così i virus che cryptano potranno renderti illeggibili i tuoi dati ma non potranno cancellare le tue copie di riserva “nascoste”.
L’unico (grosso) ostacolo è che questo comando da disabilitare è un comando di sistema, quindi dotato di proprietari e privilegi “strani” e difficili da cambiare.
Per tua fortuna (e per nostra fortuna) c’è qualcuno che ha costruito uno script meraviglioso che fa tutto da solo.
Lo script pronto da scaricare lo trovi su Bleepingcomputer dove troverai anche molti commenti.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti