Estoy estudiando y enumerando la familia de ransomware (como CryptoWall, TorrentLocker, CTB-Locker, .etc)
Cuando leo las características de esa familia, hacen vssadmin.exe para eliminar las instantáneas de la PC de la víctima para que la víctima no pueda recuperarse.
Entonces, ¿es posible? Si puedo conectar vssadmin, el proceso de vssadmin se detiene hasta la autenticación adicional (como el reconocimiento facial en la cámara de su computadora portátil).
En otras palabras, el ransomware no tiene permiso para eliminar la instantánea. Entonces, si los usuarios son atacados por un ransomware, el usuario puede recuperar algunos archivos (aunque se pierden desde cierta fecha en la instantánea hasta los datos actuales)
Gracias