REvil ransomware يسجل Windows تلقائيًا في الوضع الآمن

كشفت الأبحاث الأمنية الأخيرة أن REvil / Sodinokibi برامج الفدية صقل تكتيكاته الهجومية لضمان الوصول إلى أنظمة تشغيل الضحايا.

تعمل التغييرات المطبقة على تعديل كلمة مرور تسجيل الدخول إلى نظام المستخدم وتفرض إعادة تشغيل النظام فقط للسماح للبرامج الضارة بتشفير الملفات. يمكن أن تتأثر أنظمة تشغيل Windows الأقدم والأحدث.

تم نشر نتائج البحث بواسطة الباحث R3MRUN على موقعه حساب على موقع تويتر.

كيف يعمل REvil Ransomware لفرض تسجيل الدخول إلى الوضع الآمن؟

قبل التغيير ، كان من الممكن أن تستخدم برامج الفدية وسيطة سطر أوامر -smode لإعادة تشغيل الجهاز الوضع الآمن، لكنها احتاجت إلى أن يصل المستخدم يدويًا إلى تلك البيئة.

هذه طريقة متستر وجديدة للهجوم الإلكتروني ، مع الأخذ في الاعتبار أن الوضع الآمن من المفترض أن يكون... آمنًا ويوصى به كبيئة آمنة لتنظيف البرامج الضارة في حالة تلف النظام.

أكثر من ذلك ، أثناء التواجد في الوضع الآمن ، لا تتم مقاطعة العمليات بواسطة برنامج الأمان أو الخوادم.

لتجنب إثارة الشكوك ، تم تعديل رمز برنامج الفدية بشكل ملائم. الآن إلى جانب استخدام الوسيطة -smode ، يقوم برنامج الفدية أيضًا بتغيير كلمة مرور المستخدم إلى DTrump4everتظهر الرسائل.

وبالتالي ، قام الملف الضار بتعديل بعض إدخالات التسجيل وسيقوم Windows بإعادة التشغيل تلقائيًا باستخدام بيانات الاعتماد الجديدة.

يعتقد أن الكود المستخدم هو ما يلي:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

كما أشار الباحث إلى مصدرين من VirusTotal مع وبدون العينة المعدلة للهجوم. تظل الطريقة الأضمن لحماية نظامك من مثل هذه المحاولة هي مكافحة فيروسات موثوقة.

⇒ احصل على ESET Internet Security

كانت ESET واحدة من 70 أداة أمان تم اختبارها لاكتشاف REvil ransomware (معدلة أم لا) ؛ 59 حلًا اكتشفها.

لذا تأكد من تثبيت برنامج مكافحة فيروسات موثوق به وتمكين الحماية في الوقت الفعلي لنظامك. كما هو الحال دائمًا ، ننصح أيضًا بتجنب مواقع الويب أو المصادر المشبوهة على الإنترنت.