Ho una nota sulla mia macchina che indica che la mia macchina ha il ransomware su di essa. Ho fatto un ripristino del sistema della mia macchina indietro diverse settimane, e ogni volta che i file continuano a tornare. I miei file NON sono crittografati, ma sto ancora ricevendo la nota.
Qualche suggerimento su come posso trovare ciò che sta causando questa nota?
Prima di ripristinare il sistema, assicurati di eliminare tali note, quindi puoi abilitare Auditing per tenere traccia delle modifiche ai file sulle cartelle in cui vengono visualizzati i file ricreati (aprire la cartella Proprietà- > Sicurezza- > Avanzate- & gt ; Auditing). Tutte le modifiche verranno riportate nel registro di sicurezza. Ti forniranno ulteriori informazioni sul processo che crea quei file.
Ci sono possibilità che tu possa trovare il processo dannoso proprio nelle informazioni del registro. C'è anche la possibilità di trovare invece un processo intermedio (ad esempio un cmd.exe che esegue uno script che copia i file). In questo caso sarebbe meglio abilitare il Process Tracking Auditing (questo viene fatto da Criteri di sicurezza locali / di gruppo) prima che questi file vengano ricreati (ad es. Dopo il ripristino del sistema, avvio in modalità sicura e abilitazione del controllo), tuttavia ciò non è garantito lavorare in tutti i casi, in quanto dipende da come il malware viene eseguito all'avvio del sistema.
Infine, ma non meno importante, potresti dover considerare lo scenario in cui l'istantanea di sistema che tenti di ripristinare potrebbe essere già stata infettata.
Leggi altre domande sui tag ransomware