Sto studiando e elencando la famiglia ransomware. (come CryptoWall, TorrentLocker, CTB-Locker, .etc)
Quando leggo le caratteristiche di questa famiglia, eseguono vssadmin.exe per eliminare le copie shadow del PC della vittima in modo che la vittima non possa recuperare.
Quindi è possibile? Se riesco ad agganciare vssadmin, il processo vssadmin è sospeso fino all'autenticazione aggiuntiva (come il riconoscimento del volto nella cam del portatile).
In altre parole, il ransomware non può cancellare la copia shadow. Quindi, se gli utenti vengono attaccati dal ransomware, l'utente può recuperare alcuni file (anche se, da una certa data nella copia shadow ai dati correnti, vengono persi)
Grazie