Come posso scoprire quale processo è stato interrotto da RansomWhere?

0

Uso RansomWhere , uno strumento per proteggere da ransomware. Ho OS X Yosemite.

Per quanto ho capito, RansomWhere mi ha appena avvisato ogni volta che un'applicazione tenta di crittografare i dati. Spetta all'utente decidere se si fida o meno di un processo. (E se l'applicazione è quella che dovrebbe necessità di crittografare i dati.) All'utente viene data la scelta di Allow o Terminate ogni volta che c'è un avviso. Mi ha avvertito di diverse app di cui mi fido e che ho ritenuto necessario crittografare i dati e ho fatto semplicemente clic su Allow .

Tuttavia, proprio ora ho ricevuto un avvertimento su un processo che non so cosa fosse. Il messaggio diceva "è la crittografia dei dati", quindi ho pensato che dovevo sbrigarmi, quindi ho appena fatto clic su Terminate subito dopo aver visto che non ero sicuro di quale fosse effettivamente il processo. Dopo aver fatto clic su Terminate , la finestra di dialogo è scomparsa e non ho ricevuto più nulla da RansomWhere in merito al problema.

Ora voglio sapere che cos'è questo processo e cosa stava succedendo. Non ricordo i dettagli forniti nel messaggio, solo che non ero sicuro di quale processo fosse. Vorrei aver preso un secondo per fare uno screenshot prima di premere Terminate , ma sfortunatamente non l'ho fatto.

Come faccio a sapere qual è il processo e cosa stava succedendo?

    
posta Revetahw 15.07.2016 - 23:46
fonte

1 risposta

1

Secondo il RansomWhere's del proprio sito i dati sono memorizzati in

  • /Library/RansomWhere/installedApps.plist : un elenco di applicazioni già presenti nel sistema.
  • /Library/RansomWhere/approvedBinaries.plist : un elenco di binari esplicitamente approvati dall'utente.
  • /Library/RansomWhere/whitelist.plist : un elenco di file binari sicuri (che spesso creano file crittografati in modo legittimo).
  • /Library/RansomWhere/graylist.plist : un elenco di file binari di sistema che non sono esplicitamente attendibili.

Tuttavia, poiché un'app che è stata terminata in base alla progettazione non è stata memorizzata, non verrà visualizzata in nessun elenco.

The following list summarizes the 'allow' and 'terminate' actions

  • 'allow' Tells RansomWhere? it's ok to let the process continue running. This will be persistently remembered; you'll never be alerted about this binary again.

  • 'terminate' Tells RansomWhere? to kill the process. As this action is a little more drastic, RansomWhere?, (by design) will not remember such actions. Thus if the terminated process is ran again, it will cause another alert.

Potresti controllare Console per vedere se ha generato un evento al momento: non posso testarlo perché non ho mai eseguito RansomWhere.

    
risposta data 16.07.2016 - 06:02
fonte

Leggi altre domande sui tag