Программы-вымогатели часто используют законное программное обеспечение, которое существует во всех версиях Windows, для различных деструктивных операций.

Этот метод позволяет программам-вымогателям избежать обнаружения антивирусным программным обеспечением.

A1RunGuard перехватывает запуск этих программ, но вместо того, чтобы полностью блокировать их, A1RunGuard исследует командные строки программы и выдает сигнал тревоги только в случае возникновения опасной комбинации.

A1RunGuard блокирует выполнение процесса только в том случае, если в командной строке найдена опасная комбинация.

Список контролируемых процессов

VSSADMIN.EXE

Vssadmin.exe — администратор службы теневого копирования томов.

Vssadmin.exe — это внутренняя утилита Windows, которая может удалять теневые копии томов. Удаление теневых копий тома предотвращает восстановление удаленных файлов из хранилища теневых резервных копий.

Пример:
vssadmin.exe Delete Shadows /All /Quiet

BCDEDIT.EXE

BCDEdit — это инструмент командной строки для управления данными конфигурации загрузки (BCD).

Программа-вымогатель использует BCDEdit для отключения функции автоматического восстановления при запуске.

Пример:
bcdedit /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

WBADMIN.EXE

Wbadmin.exe — это утилита командной строки, позволяющая выполнять резервное копирование и восстановление томов, файлов, папок и приложений.

Пример:
wbadmin DELETE SYSTEMSTATEBACKUP

WMIC.EXE

WMIC.EXE — это утилита командной строки инструментария управления Windows (WMI).

Пример:
wmic.exe SHADOWCOPY /nointeractive

POWERSHELL.EXE

POWERSHELL.EXE — это инструмент автоматизации задач и управления конфигурацией из командной строки.

Пример:
Get-WmiObject Win32_Shadowcopy | ForEach-Object $_.Delete();

WEVTUTIL.EXE

WEVTUTIL.EXE — это инструмент командной строки для управления журналами событий Windows.

Пример:
приложение очистки журнала wevtutil
wevtutil безопасность очистки журнала
Настройка очистки журнала wevtutil
система очистки журнала wevtutil

DISKSHADOW.EXE

DISKSHADOW.EXE — это инструмент, предоставляющий функциональные возможности службы теневого копирования томов (VSS).

Кроме того, DISKSHADOW.EXE включает интерактивный интерпретатор команд и режим сценариев, поддерживающий команду EXEC.

Пример:
diskshadow.exe /s c:\test\diskshadow.txt
diskshadow.exe удалить все тени

FSUTIL.EXE

FSUTIL.EXE — это утилита Microsoft для управления файловыми системами, точками повторной обработки и размонтирования тома.

Пример:
fsutil usn deletejournal /D C:

MSDT.EXE

MSDT.EXE.EXE — это мастер диагностики и устранения неполадок Microsoft. MSDT позволяет выполнять код. Эта уязвимость известна как "Фоллина".

Пример:
location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=/../../$(calc)/.exe\"";

Нужна помощь?

1. Читать Документация.
2. База знаний.
3. Часто задаваемые вопросы.
4. Обратиться в службу поддержки.