Основным способом распространения этого зловреда является использование WMIC.
WMIC может запускать отдельные процессы, например:
wmic process call create notepad.exe
Шифровальщик же с помощью него удаляет теневые копии:
wmic shadowcopy delete
Если WMIC не используется, можно его заблокировать с помощью SRP.
Кроме этого можно создать файлы и установить для них галочку «Read only»:
C:\Windows\infpub.dat
а также:
C:\Windows\cscc.dat
Для корректной установки Visual Studio требуется разрешить запуск WMIC на время процесса установки/модификации программы! Возможно он также потребуется для каких-то других программ.
DenTNT недавно публиковал (посмотреть все)
- Android: Отладка устройства через Wi-Fi - 03.06.2025
- WordPress: Очистить от мусора WPDiscuz - 12.05.2025
- WPF: Не обновляется привязка к TextBox - 29.04.2025