- Jei įrenginys buvo užkrėstas „REvil“ išpirkos programine įranga, automatiškai prisijungus prie saugaus režimo bus užtikrinta perkrovus.
- Įdiegus naujausius kenkėjiško kodo pakeitimus, vartotojui nereikia atlikti jokių veiksmų.
- Geriausia apsauga nuo tokio tipo išpirkos išpuolių išlieka patikima antivirusinė programa.
- Ataskaitos rodo, kad dauguma antivirusinių įrankių net po modifikacijų gali aptikti „REvil“ išpirkos išpuolių programas.
Naujausi saugumo tyrimai atskleidė, kad REvil / Sodinokibi išpirkos programa patobulino savo puolimo taktiką, kad užtikrintų prieigą prie aukų operacinių sistemų.
Pritaikyti pakeitimai pakeičia vartotojo sistemos prisijungimo slaptažodį ir priverčia sistemą paleisti iš naujo tik tam, kad kenkėjiška programa galėtų užšifruoti failus. Tai gali paveikti tiek senesnes, tiek naujesnes „Windows“ operacines sistemas.
Tyrimo rezultatus paskelbė tyrėjas R3MRUN „Twitter“ paskyra.
Kaip „REvil“ išpirkos programa priverčia prisijungti prie saugaus režimo?
Prieš pakeitimą išpirkos programa būtų naudojusi komandų eilutės -mode argumentą, norėdami iš naujo paleisti įrenginį
Saugus režimas, bet vartotojui reikėjo rankiniu būdu pasiekti tą aplinką.Tai yra klastingas ir naujas kibernetinio užpuolimo metodas, turint omenyje, kad saugusis režimas turėtų būti... saugus ir netgi rekomenduojamas kaip saugi aplinka kenkėjiškų programų valymui sistemos sugadinimo atveju.
Tuo labiau, būdami saugiuoju režimu, procesai nenutrūksta saugos programinė įranga arba serveriai.
Siekiant išvengti įtarimų, išpirkos programinės įrangos kodas buvo patogiai pakeistas. Dabar naudodama argumentą -smode, išpirkos programa taip pat pakeičia vartotojo slaptažodį į „DTrump4ever“, rodomi pranešimai.
Todėl kenkėjiškas failas pakeitė kai kuriuos registro įrašus, o „Windows“ automatiškai iš naujo paleidžiama su naujais kredencialais.
Manoma, kad naudojamas šis kodas:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
„AutoAdminLogon“ = 1
DefaultUserName = [paskyros_pavadinimas]
DefaultPassword = DTrump4ever
Tyrėjas taip pat nurodė du „VirusTotal“ šaltinius su modifikuotu atakos pavyzdžiu ir be jo. Patikimiausias būdas apsaugoti savo sistemą nuo tokio bandymo išlieka patikima antivirusinė programa.
⇒ Gaukite „ESET Internet Security“
ESET buvo viena iš 70 saugumo priemonių, kurios buvo išbandytos norint rasti „REvil“ išpirkos programą (modifikuotą ar ne); Tai aptiko 59 sprendimai.
Taigi įsitikinkite, kad įdiegėte patikimą antivirusinę programą ir įgalinote sistemos apsaugą realiuoju laiku. Kaip visada, taip pat patariame vengti įtartinų internetinių svetainių ar šaltinių.
![Saugokite „Volume Shadow Copy“ sistemoje „Windows 10“ [Ransomware]](/f/93b7a85c245e7e6820d50430b2ca2174.jpg?width=300&height=460)
