Основным способом распространения этого зловреда является использование WMIC.
WMIC может запускать отдельные процессы, например:
wmic process call create notepad.exe
Шифровальщик же с помощью него удаляет теневые копии:
wmic shadowcopy delete
Если WMIC не используется, можно его заблокировать с помощью SRP.
Кроме этого можно создать файлы и установить для них галочку «Read only»:
C:\Windows\infpub.dat
а также:
C:\Windows\cscc.dat
Для корректной установки Visual Studio требуется разрешить запуск WMIC на время процесса установки/модификации программы! Возможно он также потребуется для каких-то других программ.
DenTNT недавно публиковал (посмотреть все)
- C#: Сравнить два массива - 12.12.2024
- EVE-Online: Фильтры каналов - 23.11.2024
- Не приходит СМС для авторизации на сайте Госуслуги - 01.11.2024