В конкретном примере своими руками запустили бэкдор, который модифицировал ключи реестра, изменил привилегии, создал файлы и процессы, осуществил межпроцессное взаимодействие, инжект, несанкционированную сетевую активность и т.д.
http://vms.drweb.ru/virus/?i=4360675
А шифрование - это закономерный результат отсутствия реакции так называемого Hips на вредоносную деятельность бэкдора.
На вирустотал большинство пишут Ransom, то есть троян-шифровальщик. Только 2 антивируса пишут "Backdoor".
Какая разница, кто запустил и какими руками запустили - своими или нет, важно другое - как Хипс отреагирует на запуск файла, как и когда остановит деструктивную активность вредоносной программы.
Вот 2 трояна (создают в папке temp файлы типа "fb_35.tmp.exe", "nse44.tmp" )
https://www.virustotal.com/ru/file/1d2a6e7ffc73ef7c6c6462bca74b1fc594ea34850495a079fcc6936167aab322/analysis/https://www.virustotal.com/ru/file/0e2d0c71a9f746c7b1bd01c14d91cc0222d3dd3491407448f68a5cec539d5f5b/analysis/Мониторинг системы в KES 10 с базами от 9 ноября 2015 успешно обнаружил деструктивную активность (
автоматически, без участия пользователя ) , которую пытались совершить эти трояны, и завершил процессы. При проверке папки "temp" KES 10 написал, что угроз не обнаружено, то есть здесь только HIPS работал (KSN был отключен). Вот запись из отчета
HIPS в Авасте при запуске этих троянов только на максимальной чувствительности начинает сообщать, что программы из папки "temp" пытаются изменить защищенный ресурс, и спрашивает - разрешить или запретить, при этом автоматически ничего не делает, в отличие от Хипса в KES 10.
В Авасте был включен только HIPS.
В Авасте есть HIPS, но он не экспертный, а классический, не принимает решения самостоятельно, а спрашивает у пользователя "а что делать?". Если я не прав - поправьте.
