Основным способом распространения этого зловреда является использование WMIC.
WMIC может запускать отдельные процессы, например:
wmic process call create notepad.exe
Шифровальщик же с помощью него удаляет теневые копии:
wmic shadowcopy delete
Если WMIC не используется, можно его заблокировать с помощью SRP.
Кроме этого можно создать файлы и установить для них галочку «Read only»:
C:\Windows\infpub.dat
а также:
C:\Windows\cscc.dat
Для корректной установки Visual Studio требуется разрешить запуск WMIC на время процесса установки/модификации программы! Возможно он также потребуется для каких-то других программ.
DenTNT недавно публиковал (посмотреть все)
- GitHub Desktop: Ошибка при попытке отправки коммита - 28.03.2025
- Visual Studio: Включить XAML Live Preview - 24.03.2025
- WPF: Открывать дочернее окно по центру родительского - 17.03.2025