- Ha egy eszközt megfertőztek a REvil ransomware programmal, akkor az újraindításkor az automatikus bejelentkezés csökkentett módba biztosított.
- A rosszindulatú kódban végrehajtott legfrissebb változtatások esetén a felhasználónak nem kell semmilyen műveletet végrehajtania.
- Az ilyen típusú ransomware támadások elleni legjobb védelem továbbra is megbízható víruskereső.
- A jelentések azt mutatják, hogy a legtöbb víruskereső eszköz a módosítások után is képes felismerni a REvil ransomware támadásokat.
A legújabb biztonsági kutatások feltárták, hogy REvil / Sodinokibi ransomware finomította támadási taktikáját az áldozatok operációs rendszereihez való hozzáférés biztosítása érdekében.
Az alkalmazott változtatások módosítják a felhasználó rendszer bejelentkezési jelszavát, és csak a rendszer újraindítását kényszerítik arra, hogy a rosszindulatú programok titkosítsák a fájlokat. Mind a régebbi, mind az újabb Windows operációs rendszerek érintettek lehetnek.
Az eredményeket az R3MRUN kutató tette közzé Twitter-fiók.
Hogyan hat a REvil ransomware a Safe Mode bejelentkezés kényszerítésére?
A változás előtt a ransomware egy -smode parancssori argumentummal indította volna újra az eszközt Biztonságos mód, de a felhasználónak kézzel kellett hozzáférnie ahhoz a környezethez.
Ez egy alattomos és új kibertámadási módszer, tekintve, hogy a Csökkentett mód állítólag… biztonságos, sőt rendszerkorrupció esetén biztonságos környezetként is ajánlott a rosszindulatú programok tisztításához.
Sőt, csökkentett módban a folyamatokat nem szakítja meg biztonsági szoftver vagy szerverek.
A gyanú felkeltése érdekében a ransomware kódot kényelmesen módosították. A -smode argumentummal együtt a ransomware a felhasználó jelszavát is megváltoztatja DTrump4ever, az üzenetek megjelennek.
Következésképpen a rosszindulatú fájl módosított néhány beállításjegyzék-bejegyzést, és a Windows automatikusan újraindul az új hitelesítő adatokkal.
A használt kód vélhetően a következő:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [fiók_neve]
DefaultPassword = DTrump4ever
A kutató két VirusTotal forrásra is rámutatott a támadás módosított mintájával és anélkül. A legbiztosabb módja annak, hogy megvédje rendszerét egy ilyen próbálkozástól, továbbra is megbízható víruskereső.
⇒ Töltse le az ESET Internet Security szolgáltatást
Az ESET egyike volt a 70 biztonsági eszköznek, amelyet teszteltek a REvil ransomware (módosított vagy nem) felfedezésére; 59 megoldás észlelte.
Ezért mindenképpen telepítsen megbízható víruskeresőt, és valós idejű védelmet engedélyezzen a rendszere számára. Mint mindig, azt is javasoljuk, hogy kerülje a gyanús online webhelyeket vagy forrásokat.
