[ad_1]
Algunas de las versiones contenían una afirmación de rescate en la que el grupo fue identificado como Funksec. Además, también hubo una afirmación alternativa de rescate en la que se atribuyó el ataque de un grupo llamado Ghost Argelia. El autor tampoco eliminó las variables de compilación, lo que hizo una ruta llamada C: \ Users \ Abdellah \ en el código fuente.
El programa de ransomware intenta con la ayuda de técnicas conocidas para los scripts de PowerShell para lograr permisos extendidos. El servicio de protección de tiempo real del defensor de Windows se desactiva, el protocolo de eventos de seguridad en el sistema y el protocolo de aplicación elimina las restricciones en la ejecución de PowerShell y finalmente elimina las copias para evitar la recuperación del sistema.
Posteriormente, el programa de malware intenta finalizar una larga lista de procesos asociados con una variedad de programas, incluidos navegadores, reproductores de video, aplicaciones de mensajería y servicios de Windows. Esto asegura que el acceso a archivos potencialmente importantes que luego se cifran no esté bloqueado por estas aplicaciones.
[ad_2]
Enlace fuente
