Защита от программ-вымогателей
Программы-вымогатели часто используют законное программное обеспечение, которое существует во всех версиях Windows, для различных деструктивных операций.
Этот метод позволяет программам-вымогателям избежать обнаружения антивирусным программным обеспечением.
A1RunGuard перехватывает запуск этих программ, но вместо того, чтобы полностью блокировать их, A1RunGuard исследует командные строки программы и выдает сигнал тревоги только в случае возникновения опасной комбинации.
Вот пример команды, используемой Sodinokibi Ransomware:
"C:\Windows\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} Recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures
Стандартный инструмент командной строки Windows "vssadmin.exe" удаляет резервные копии в тени тома Windows с помощью следующей команды:
vssadmin.exe Delete Shadows /All /Quiet
Предотвратить атаку программ-вымогателей
A1RunGuard блокирует выполнение "vssadmin.exe" только в том случае, если в командной строке обнаружена опасная комбинация. В противном случае "vassadmin.exe" будет запущен как обычно.
Кроме того, A1RunGuard завершает родительский процесс, который запускает "vssadmin".
Это можно сделать, включив опцию "Завершить родительский процесс" в настройках защиты от вредоносных программ A1RunGuard.
Есть два способа выполнить "опасные" команды, если это необходимо для своих целей
Для этого: