- თუ მოწყობილობა დაინფიცირებულია REvil ransomware- ით, უსაფრთხო რეჟიმში ავტომატური შესვლა უზრუნველყოფს გადატვირთვისას.
- მავნე კოდში განხორციელებული უახლესი ცვლილებებით, მომხმარებლისგან არანაირი ქმედება არ არის საჭირო.
- საუკეთესო დაცვა ამ ტიპის ransomware შეტევისგან რჩება საიმედო ანტივირუსული.
- მოხსენებები აჩვენებს, რომ ანტივირუსული საშუალებების უმეტესობას შეუძლია დაადგინოს REvil ransomware შეტევები მოდიფიკაციების შემდეგაც.
უსაფრთხოების ბოლოდროინდელი კვლევის შედეგად დადგინდა, რომ REVil / Sodinokibi გამოსასყიდი პროგრამა დახვეწა თავდასხმის ტაქტიკა დაზარალებულთა ოპერაციულ სისტემებზე წვდომის უზრუნველსაყოფად.
გამოყენებული ცვლილებები შეცვლის მომხმარებლის სისტემის სისტემაში შესვლის პაროლს და აიძულებს სისტემის გადატვირთვას მხოლოდ მავნე პროგრამებისთვის, რომ დაშიფროს ფაილები. შეიძლება გავლენა იქონიოს როგორც ძველ, ასევე ახალ Windows ოპერაციულ სისტემაზე.
კვლევის შედეგები გამოაქვეყნა მკვლევარმა R3MRUN– მა Twitter ანგარიში.
როგორ მოქმედებს REvil ransomware უსაფრთხო რეჟიმის შესასვლელად?
ცვლილებამდე, გამოსასწორებელ პროგრამას გამოიყენებოდა -smode ბრძანების სტრიქონი მოწყობილობის გადატვირთვისთვის
Უსაფრთხო რეჟიმი, მაგრამ მას სჭირდებოდა მომხმარებლის ხელით წვდომა ამ გარემოში.ეს კიბერშეტევის დამალული და ახალი მეთოდია, იმის გათვალისწინებით, რომ Safe Mode სავარაუდოდ… უსაფრთხოა და რეკომენდებულია თუნდაც უსაფრთხო გარემო მავნე პროგრამების დასუფთავებისთვის სისტემის დაზიანების შემთხვევაში.
უფრო მეტიც, უსაფრთხო რეჟიმში ყოფნისას პროცესები არ წყდება უსაფრთხოების პროგრამული უზრუნველყოფა ან სერვერები.
ეჭვების აღსაკვეთად, გამოსასყიდი კოდი მოხერხებულად შეიცვალა. -Smode არგუმენტის გამოყენებასთან ერთად, ransomware ასევე ცვლის მომხმარებლის პაროლს DTrump4ever, შეტყობინებები აჩვენებს.
შესაბამისად, მავნე ფაილმა შეცვალა ზოგიერთი რეესტრის ჩანაწერი და Windows ავტომატურად გადატვირთავს ახალ ავტორიზაციას.
გამოყენებული კოდი შემდეგია:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [ანგარიშის_სახელი]
DefaultPassword = DTrump4ever
მკვლევარმა ასევე მიუთითა VirusTotal– ის ორი წყარო თავდასხმის შეცვლილი ნიმუშით და მის გარეშე. თქვენი სისტემის მცდელობის უტყუარი გზა რჩება საიმედო ანტივირუსულად.
⇒ მიიღეთ ESET ინტერნეტ უსაფრთხოება
ESET იყო 70 უსაფრთხოების იარაღებიდან ერთ-ერთი, რომელიც გამოცდილი იქნა REvil გამოსასვლელი პროგრამის (შეცვლილი ან არა) აღმოსაჩენად; 59 გადაწყვეტილებამ დააფიქსირა.
ამიტომ დარწმუნდით, რომ დააინსტალირეთ საიმედო ანტივირუსი და ჩართეთ თქვენი სისტემის რეალურ დროში დაცვა. როგორც ყოველთვის, ჩვენ ასევე გირჩევთ, რომ თავიდან აიცილოთ საეჭვო ონლაინ ვებსაიტები ან წყაროები.
