REvil ransomware يسجل Windows تلقائيًا في الوضع الآمن

  • في حالة إصابة جهاز ببرنامج REvil ransomware ، يضمن تسجيل الدخول التلقائي في الوضع الآمن عند إعادة التشغيل.
  • مع أحدث التغييرات التي تم تنفيذها في التعليمات البرمجية الضارة ، لا يلزم اتخاذ أي إجراء من جانب المستخدم.
  • تظل أفضل حماية ضد هذا النوع من هجمات برامج الفدية بمثابة مضاد فيروسات موثوق به.
  • تشير التقارير إلى أن معظم أدوات مكافحة الفيروسات يمكنها اكتشاف هجمات REvil ransomware حتى بعد التعديلات.
أجبرت revil ransomware على إعادة التشغيل

كشفت الأبحاث الأمنية الأخيرة أن REvil / Sodinokibi برامج الفدية صقل تكتيكاته الهجومية لضمان الوصول إلى أنظمة تشغيل الضحايا.

تعمل التغييرات المطبقة على تعديل كلمة مرور تسجيل الدخول إلى نظام المستخدم وتفرض إعادة تشغيل النظام فقط للسماح للبرامج الضارة بتشفير الملفات. يمكن أن تتأثر أنظمة تشغيل Windows الأقدم والأحدث.

تم نشر نتائج البحث بواسطة الباحث R3MRUN على موقعه حساب على موقع تويتر.

كيف يعمل REvil Ransomware لفرض تسجيل الدخول إلى الوضع الآمن؟

قبل التغيير ، كان من الممكن أن تستخدم برامج الفدية وسيطة سطر أوامر -smode لإعادة تشغيل الجهاز الوضع الآمن، لكنها احتاجت إلى أن يصل المستخدم يدويًا إلى تلك البيئة.

هذه طريقة متستر وجديدة للهجوم الإلكتروني ، مع الأخذ في الاعتبار أن الوضع الآمن من المفترض أن يكون... آمنًا ويوصى به كبيئة آمنة لتنظيف البرامج الضارة في حالة تلف النظام.

أكثر من ذلك ، أثناء التواجد في الوضع الآمن ، لا تتم مقاطعة العمليات بواسطة برنامج الأمان أو الخوادم.

لتجنب إثارة الشكوك ، تم تعديل رمز برنامج الفدية بشكل ملائم. الآن إلى جانب استخدام الوسيطة -smode ، يقوم برنامج الفدية أيضًا بتغيير كلمة مرور المستخدم إلى DTrump4everتظهر الرسائل.

وبالتالي ، قام الملف الضار بتعديل بعض إدخالات التسجيل وسيقوم Windows بإعادة التشغيل تلقائيًا باستخدام بيانات الاعتماد الجديدة.

يعتقد أن الكود المستخدم هو ما يلي:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

كما أشار الباحث إلى مصدرين من VirusTotal مع وبدون العينة المعدلة للهجوم. تظل الطريقة الأضمن لحماية نظامك من مثل هذه المحاولة هي مكافحة فيروسات موثوقة.

احصل على ESET Internet Security

كانت ESET واحدة من 70 أداة أمان تم اختبارها لاكتشاف REvil ransomware (معدلة أم لا) ؛ 59 حلًا اكتشفها.

لذا تأكد من تثبيت برنامج مكافحة فيروسات موثوق به وتمكين الحماية في الوقت الفعلي لنظامك. كما هو الحال دائمًا ، ننصح أيضًا بتجنب مواقع الويب أو المصادر المشبوهة على الإنترنت.

قم بحماية جهاز الكمبيوتر الخاص بك من برامج الفدية والبرامج الضارة باستخدام ميزة التحكم في الوصول إلى المجلد الجديد من Windows Defender

قم بحماية جهاز الكمبيوتر الخاص بك من برامج الفدية والبرامج الضارة باستخدام ميزة التحكم في الوصول إلى المجلد الجديد من Windows Defenderمدافع مايكروسوفت ويندوزبرامج الفدية

يعد Windows Defender أحد أكثر برامج مكافحة الفيروسات استخدامًا منذ أن تقوم Microsoft بتجميعه مع أنظمة التشغيل الخاصة بها. تحسن Defender بشكل كبير منذ إصداره لأول مرة مع Windows 7. أحدث ميزة لـ Wind...

اقرأ أكثر
يمكن لـ Windows Defender حظر Petya & GoldenEye Ransomware على نظام التشغيل Windows 10

يمكن لـ Windows Defender حظر Petya & GoldenEye Ransomware على نظام التشغيل Windows 10برامج الفديةالأمن الإلكتروني

موجة جديدة من هجمات برامج الفدية تؤدي دور البطولة Petya و GoldenEye Ransomware أثرت على الآلاف من أجهزة الكمبيوتر في جميع أنحاء العالم. يأتي هذا الهجوم بعد شهر واحد فقط من هجوم WannaCry الضخم.لسوء ...

اقرأ أكثر
برنامج الفدية Locky الذي ينتشر على Facebook مخفي كملف svg

برنامج الفدية Locky الذي ينتشر على Facebook مخفي كملف svgلوكيبرامج الفديةموقع التواصل الاجتماعي الفيسبوك

البريد العشوائي و برامج الفدية هي الأكثر شيوعًا أشكال الجرائم الإلكترونية واجه اليوم. تشير سجلات مكتب التحقيقات الفيدرالي إلى وجود مليار دولار من الأموال التي حصل عليها مجرمو الإنترنت في عام 2016 و...

اقرأ أكثر