REvil ransomware automaticky přihlásí Windows do nouzového režimu

Nedávný bezpečnostní průzkum odhalil, že REvil / Sodinokibi ransomware zdokonalila svoji taktiku útoku, aby zajistila přístup k operačním systémům obětí.

Aplikované změny upraví přihlašovací heslo uživatele do systému a vynutí restartování systému, aby malware mohl soubory zašifrovat. Může být ovlivněn jak starší, tak novější operační systém Windows.

Výsledky byly publikovány výzkumníkem R3MRUN na jeho Twitter účet.

Jak ransomware REvil vynucuje přihlášení v nouzovém režimu?

Před touto změnou by ransomware k restartování zařízení použil argument příkazového řádku -smode Nouzový režim, ale uživatel musel k tomuto prostředí přistupovat ručně.

Jedná se o záludnou a novou metodu kybernetického útoku, vzhledem k tomu, že bezpečný režim má být... bezpečný a dokonce se doporučuje jako bezpečné prostředí pro čištění malwaru v případě poškození systému.

Navíc v nouzovém režimu nejsou procesy přerušeny bezpečnostní software nebo servery.

Aby se zabránilo podezření, byl kód ransomwaru pohodlně upraven. Nyní spolu s argumentem -smode také ransomware změní heslo uživatele na DTrump4ever, zobrazí se zprávy.

Škodlivý soubor následně upravil některé položky registru a Windows se automaticky restartuje s novými pověřeními.

Použitý kód je považován za následující:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

Výzkumník také upozornil na dva zdroje VirusTotal s upraveným vzorkem útoku a bez něj. Nejjistějším způsobem ochrany vašeho systému před takovým pokusem zůstává spolehlivý antivirus.

⇒ Získejte ESET Internet Security

ESET byl jedním ze 70 bezpečnostních nástrojů, které byly testovány na objevení ransomwaru REvil (upraveného či nikoli); Zjistilo to 59 řešení.

Nezapomeňte tedy nainstalovat spolehlivý antivirus a aktivovat ochranu systému v reálném čase. Jako vždy také doporučujeme, abyste se vyhnuli podezřelým online webům nebo zdrojům.