Основным способом распространения этого зловреда является использование WMIC.
WMIC может запускать отдельные процессы, например:
wmic process call create notepad.exe
Шифровальщик же с помощью него удаляет теневые копии:
wmic shadowcopy delete
Если WMIC не используется, можно его заблокировать с помощью SRP.
Кроме этого можно создать файлы и установить для них галочку «Read only»:
C:\Windows\infpub.dat
а также:
C:\Windows\cscc.dat
Для корректной установки Visual Studio требуется разрешить запуск WMIC на время процесса установки/модификации программы! Возможно он также потребуется для каких-то других программ.
DenTNT недавно публиковал (посмотреть все)
- Не приходит СМС для авторизации на сайте Госуслуги - 01.11.2024
- VSCode: Найти и удалить элементы xml - 29.10.2024
- WordPress: Ошибка в плагине WpDiscuz - 08.10.2024