Fra Bleepingcomputer

Hvad er nu det ? - er der nogen der kan forklare det, og ikke mindst hvordan vi skal reagere på det -

1 Like

Shadow copy funktionen (Vista og senere Windows versioner) aktiveres når du aktiverer systemgendannelse, og funktionen sikrer, at du kan vende tilbage til et systemgendannelsespunkt, hvis noget går galt. Ved en systemgendannelse kan du genskabe din computer til et tidligere tidspunkt, hvilket er væsentligt, hvis du eksempelvis rammes af ransomware (som artiklen fra bleeping handler om).

Nogle/flere/mange ransomwares (Cryptolocker etc.) sletter dine systemgendannelsespunkter og shadow copies for at forhindre dig i at gendanne din ved hjælp af systemgendannelsesfunktionen. Og de gør det ved hjælp af vssadmin.exe. Hvis du omdøber vssadmin.exe vil ransomware’n ikke kunne slette shadow copies ved brug af vssadmin.exe, og du vil have en mulighed for at gendanne din computer selvom du skulle være ramt af ransomware.

Omdøbning af vssadmin.exe vil ikke forhindre dig i at lave systemgendannelsespunkter - det er alene administrationen af disse, der ændres på.

Systemgendannelse er ikke en perfekt back-up, men hvis man ikke har andre muligheder (eller hvis man bare ikke gider at lave en back-up) så er det en beskyttelsesforanstaltning, der er bedre en ingenting. Og som artiklen beskriver det, så er det ikke al ransomware, der benytter vssadmin.exe til at slette dine systemgendannelsespunkter, så det vil heller ikke være en 100 % beskyttelse mod ransomware, men igen bedre end ingenting.

Så det er endnu et godt råd fra BleepingComputer - godt link :grinning:

1 Like

Mange tak for udredning :+1: - der er vel så ikke meget andet at gøre, end at følge rådet - omdøbe vssadmin.exe, eller benytte den medfølgende batchfil lavet til formålet - det er nogle røvere de djævle !!

Overskriften er lidt misvisende: Why Everyone Should disable VSSAdmin.exe Now!
Men der er vil nok det bedste råd man kunne få i dag. Altså at omdøbe filen / funktionen ikke mindst med al den ransomware der er på internettet.

Synd at tråden bliver lukket efter 7 dage - efter sidste svar. Batch filen skal køre som administrator

This topic was automatically closed 4 days after the last reply. New replies are no longer allowed.