Основным способом распространения этого зловреда является использование WMIC.
WMIC может запускать отдельные процессы, например:
wmic process call create notepad.exe
Шифровальщик же с помощью него удаляет теневые копии:
wmic shadowcopy delete
Если WMIC не используется, можно его заблокировать с помощью SRP.
Кроме этого можно создать файлы и установить для них галочку «Read only»:
C:\Windows\infpub.dat
а также:
C:\Windows\cscc.dat
Для корректной установки Visual Studio требуется разрешить запуск WMIC на время процесса установки/модификации программы! Возможно он также потребуется для каких-то других программ.
DenTNT недавно публиковал (посмотреть все)
- VSCode: Сменить язык интерфейса - 03.05.2024
- C#: Отобразить Unicode символ - 25.04.2024
- UWP: Visual Studio requires a newer version of Windows to display this content - 10.04.2024