REvil ransomware يسجل Windows تلقائيًا في الوضع الآمن

  • في حالة إصابة جهاز ببرنامج REvil ransomware ، يضمن تسجيل الدخول التلقائي في الوضع الآمن عند إعادة التشغيل.
  • مع أحدث التغييرات التي تم تنفيذها في التعليمات البرمجية الضارة ، لا يلزم اتخاذ أي إجراء من جانب المستخدم.
  • تظل أفضل حماية ضد هذا النوع من هجمات برامج الفدية بمثابة مضاد فيروسات موثوق به.
  • تشير التقارير إلى أن معظم أدوات مكافحة الفيروسات يمكنها اكتشاف هجمات REvil ransomware حتى بعد التعديلات.
أجبرت revil ransomware على إعادة التشغيل

كشفت الأبحاث الأمنية الأخيرة أن REvil / Sodinokibi برامج الفدية صقل تكتيكاته الهجومية لضمان الوصول إلى أنظمة تشغيل الضحايا.

تعمل التغييرات المطبقة على تعديل كلمة مرور تسجيل الدخول إلى نظام المستخدم وتفرض إعادة تشغيل النظام فقط للسماح للبرامج الضارة بتشفير الملفات. يمكن أن تتأثر أنظمة تشغيل Windows الأقدم والأحدث.

تم نشر نتائج البحث بواسطة الباحث R3MRUN على موقعه حساب على موقع تويتر.

كيف يعمل REvil Ransomware لفرض تسجيل الدخول إلى الوضع الآمن؟

قبل التغيير ، كان من الممكن أن تستخدم برامج الفدية وسيطة سطر أوامر -smode لإعادة تشغيل الجهاز الوضع الآمن، لكنها احتاجت إلى أن يصل المستخدم يدويًا إلى تلك البيئة.

هذه طريقة متستر وجديدة للهجوم الإلكتروني ، مع الأخذ في الاعتبار أن الوضع الآمن من المفترض أن يكون... آمنًا ويوصى به كبيئة آمنة لتنظيف البرامج الضارة في حالة تلف النظام.

أكثر من ذلك ، أثناء التواجد في الوضع الآمن ، لا تتم مقاطعة العمليات بواسطة برنامج الأمان أو الخوادم.

لتجنب إثارة الشكوك ، تم تعديل رمز برنامج الفدية بشكل ملائم. الآن إلى جانب استخدام الوسيطة -smode ، يقوم برنامج الفدية أيضًا بتغيير كلمة مرور المستخدم إلى DTrump4everتظهر الرسائل.

وبالتالي ، قام الملف الضار بتعديل بعض إدخالات التسجيل وسيقوم Windows بإعادة التشغيل تلقائيًا باستخدام بيانات الاعتماد الجديدة.

يعتقد أن الكود المستخدم هو ما يلي:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

كما أشار الباحث إلى مصدرين من VirusTotal مع وبدون العينة المعدلة للهجوم. تظل الطريقة الأضمن لحماية نظامك من مثل هذه المحاولة هي مكافحة فيروسات موثوقة.

احصل على ESET Internet Security

كانت ESET واحدة من 70 أداة أمان تم اختبارها لاكتشاف REvil ransomware (معدلة أم لا) ؛ 59 حلًا اكتشفها.

لذا تأكد من تثبيت برنامج مكافحة فيروسات موثوق به وتمكين الحماية في الوقت الفعلي لنظامك. كما هو الحال دائمًا ، ننصح أيضًا بتجنب مواقع الويب أو المصادر المشبوهة على الإنترنت.

REvil ransomware يسجل Windows تلقائيًا في الوضع الآمن

REvil ransomware يسجل Windows تلقائيًا في الوضع الآمنبرامج الفديةالتهديدات الأمنية

في حالة إصابة جهاز ببرنامج REvil ransomware ، يضمن تسجيل الدخول التلقائي في الوضع الآمن عند إعادة التشغيل.مع أحدث التغييرات التي تم تنفيذها في التعليمات البرمجية الضارة ، لا يلزم اتخاذ أي إجراء من ...

اقرأ أكثر
امنع هجمات برامج الفدية باستخدام CyberGhost Immunizer

امنع هجمات برامج الفدية باستخدام CyberGhost Immunizerبرامج الفدية

أطلقت Cyberghost ، مطور CyberGhost VPN ، برنامجًا جديدًا يسمى CyberGhost Petya Immunizer والذي يعد بحماية نظامك من رانسومواري بيتيا.ميزات CyberGhost Immunizerأصبحت برامج الفدية تشكل تهديدًا خطيرًا....

اقرأ أكثر
كيفية إزالة Anatova ransomware من أجهزة الكمبيوتر التي تعمل بنظام Windows 10

كيفية إزالة Anatova ransomware من أجهزة الكمبيوتر التي تعمل بنظام Windows 10برامج الفديةالأمن الإلكتروني

يعد Anatova ransomware نوعًا خطيرًا من الهجمات الإلكترونية التي تستهدف الملفات المحلية على جهاز الكمبيوتر الخاص بك ، ولكنها تستهدف أيضًا الموارد المشتركة على شبكتك.على الرغم من صعوبة التخلص من برام...

اقرأ أكثر