REvil lunavara logib Windowsi automaatselt turvarežiimi

Hiljutised turvauuringud näitasid, et REvil / Sodinokibi lunavara on täpsustanud oma rünnakutaktikat, et tagada juurdepääs ohvrite operatsioonisüsteemidele.

Rakendatud muudatused muudavad kasutaja süsteemi sisselogimisparooli ja sunnivad süsteemi taaskäivitama, et pahavara saaks faile krüptida. Mõjutada võivad nii vanemad kui ka uuemad Windowsi operatsioonisüsteemid.

Uuringu tulemused avaldas teadlane R3MRUN Twitteri konto.

Kuidas REvil lunavara sunnib turvarežiimi sisselogimist sundima?

Enne muudatust oleks lunavara seadme taaskäivitamiseks kasutanud käsurea argumenti -smode Ohutu režiim, kuid selleks oli vaja, et kasutaja sellele keskkonnale käsitsi juurde pääseks.

See on alatu ja uus küberrünnakumeetod, arvestades, et turvarežiim peaks olema... ohutu ja seda soovitatakse süsteemi turvavigastuste korral isegi pahavara puhastamiseks turvalise keskkonnana.

Veelgi enam, turvarežiimis ei katkestata protsesse turvatarkvara või serverid.

Kahtluste tekitamise vältimiseks on lunavara koodi mugavalt muudetud. Nüüd, kasutades argumenti -smode, muudab lunavara ka kasutaja parooli DTrump4ever, kuvatakse sõnumeid.

Sellest tulenevalt muutis pahatahtlik fail mõnda registrikirjet ja Windows taaskäivitub automaatselt uute mandaatidega.

Arvatakse, et kasutatud kood on järgmine:

[HKEY_LOCAL_MACHINE \ TARKVARA \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [konto_nimi]
DefaultPassword = DTrump4ever

Teadlane tõi välja ka kaks VirusTotal'i allikat koos rünnaku modifitseeritud prooviga ja ilma. Kindlaim viis oma süsteemi sellise katse eest kaitsta on usaldusväärne viirusetõrje.

⇒ Hankige ESET Internet Security

ESET oli üks 70 turvatööriistast, mida REvil lunavara (muudetud või mitte) avastamiseks testiti; 59 lahendust tuvastas selle.

Nii et installige kindlasti usaldusväärne viirusetõrje ja lubage oma süsteemile reaalajas kaitse. Nagu alati, soovitame teil vältida kahtlasi veebisaite või -allikaid.