¿Cómo puedo saber qué proceso detuvo RansomWhere?

0

Uso RansomWhere , una herramienta para proteger del ransomware. Tengo OS X Yosemite.

Por lo que yo entiendo, RansomWhere me avisa cada vez que una aplicación intenta cifrar datos. Depende del usuario juzgar si confían en un proceso o no. (Y si la aplicación es una que debería necesitar para cifrar los datos). Al usuario se le da la opción de Allow o Terminate cada vez que hay una advertencia. Me ha advertido sobre varias aplicaciones en las que confío y que creo que sí necesitaban cifrar los datos, y simplemente hice clic en Allow .

Sin embargo, justo ahora recibí una advertencia sobre un proceso que no sé qué fue. El mensaje decía "está cifrando datos", así que pensé que tenía que darme prisa, así que simplemente hice clic en Terminate inmediatamente después de ver que no estaba seguro de cuál era el proceso. Después de hacer clic en Terminate , el cuadro de diálogo desapareció y no escuché nada más de RansomWhere con respecto al problema.

Ahora, quiero saber qué fue realmente este proceso y qué estaba sucediendo. No recuerdo los detalles dados en el mensaje, solo que no estaba seguro de qué proceso fue. Desearía haber tomado un segundo para tomar una captura de pantalla antes de presionar Terminate , pero desafortunadamente, no lo hice.

¿Cómo puedo saber qué proceso fue y qué estaba pasando?

    
pregunta Revetahw 15.07.2016 - 23:46

1 respuesta

1

Según RansomWhere's , el sitio propio donde se almacenan los datos

  • /Library/RansomWhere/installedApps.plist - una lista de aplicaciones ya presentes en el sistema.
  • /Library/RansomWhere/approvedBinaries.plist - una lista de binarios explícitamente aprobados por el usuario.
  • /Library/RansomWhere/whitelist.plist - una lista de binarios seguros (que a menudo crean archivos cifrados legítimamente).
  • /Library/RansomWhere/graylist.plist : una lista de binarios del sistema que no son de confianza explícita.

Sin embargo, debido a que una aplicación que se terminó no fue recordada por su diseño, no aparecerá en ninguna lista.

  

La siguiente lista resume las acciones 'permitir' y 'terminar'

     
  • 'permitir' le dice a RansomWhere? Está bien dejar que el proceso continúe ejecutándose. Esto será recordado persistentemente; nunca serás alertado   sobre este binario otra vez.

  •   
  • 'terminar' dice RansomWhere? para matar el proceso. Como esta acción es un poco más drástica, RansomWhere ?, (por diseño) no recordará   tales acciones Así, si el proceso finalizado se ejecuta de nuevo, será   causar otra alerta.

  •   

Podrías revisar la Consola para ver si generó un evento en ese momento, no puedo probar eso ya que nunca ejecuté RansomWhere.

    
respondido por el Tetsujin 16.07.2016 - 06:02

Lea otras preguntas en las etiquetas