¿Puedo enganchar el proceso de "eliminar vssadmin.exe"?

2

Estoy estudiando y enumerando la familia de ransomware (como CryptoWall, TorrentLocker, CTB-Locker, .etc)

Cuando leo las características de esa familia, hacen vssadmin.exe para eliminar las instantáneas de la PC de la víctima para que la víctima no pueda recuperarse.

Entonces, ¿es posible? Si puedo conectar vssadmin, el proceso de vssadmin se detiene hasta la autenticación adicional (como el reconocimiento facial en la cámara de su computadora portátil).

En otras palabras, el ransomware no tiene permiso para eliminar la instantánea. Entonces, si los usuarios son atacados por un ransomware, el usuario puede recuperar algunos archivos (aunque se pierden desde cierta fecha en la instantánea hasta los datos actuales)

Gracias

    
pregunta Hwan 14.11.2016 - 07:28
fuente

1 respuesta

1

Sí, pero ¿no necesitarías también enganchar wmic shadowcopy delete así como otras formas de hacer esto?

    
respondido por el atdre 27.11.2016 - 02:06
fuente

Lea otras preguntas en las etiquetas