- Hvis en enhet har blitt infisert med REvil ransomware, garanterer automatisk innlogging i sikkermodus ved omstart.
- Med de siste endringene implementert i den ondsinnede koden, er det ikke behov for handling fra brukeren.
- Den beste beskyttelsen mot denne typen ransomware-angrep forblir et pålitelig antivirusprogram.
- Rapporter viser at de fleste antivirusverktøy kan oppdage REvil ransomware-angrep, selv etter endringene.
Nyere sikkerhetsforskning avslørte at REvil / Sodinokibi løsepenger har forbedret angrepstaktikken for å sikre tilgang til ofrenes operativsystemer.
De anvendte endringene endrer brukerens passord for systeminnlogging og tvinger en omstart av systemet bare slik at skadelig programvare kan kryptere filene. Både eldre og nyere Windows-operativsystemer kan påvirkes.
Resultatene ble publisert av forsker R3MRUN på hans Twitter-konto.
Hvordan fungerer REvil ransomware for å tvinge innlogging i Safe Mode?
Før endringen ville ransomware ha brukt et -smode kommandolinjeargument for å starte enheten på nytt Sikkerhetsmodus, men det trengte brukeren å få tilgang til miljøet manuelt.
Dette er en luskende og ny cyberattack-metode, med tanke på at Safe Mode skal være... trygg og til og med anbefales som et sikkert miljø for rengjøring av skadelig programvare i tilfelle systemkorrupsjon.
Mer, mens prosessene ikke er avbrutt i sikkermodus sikkerhetsprogramvare eller servere.
For å unngå mistanker har ransomware-koden blitt modifisert. Nå, ved hjelp av argumentet -smode, endrer ransomware også brukerens passord til DTrump4ever, meldingene viser.
Følgelig endret den ondsinnede filen noen registeroppføringer, og Windows starter automatisk på nytt med de nye legitimasjonene.
Den brukte koden antas å være følgende:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
Standardbrukernavn = [konto_navn]
DefaultPassword = DTrump4ever
Forskeren påpekte også to VirusTotal-kilder med og uten den modifiserte prøven av angrepet. Den sikreste måten å beskytte systemet ditt mot et slikt forsøk er fortsatt et pålitelig antivirusprogram.
⇒ Få ESET Internet Security
ESET var et av de 70 sikkerhetsverktøyene som ble testet for å oppdage REvil ransomware (modifisert eller ikke); 59 løsninger oppdaget det.
Så sørg for å installere et pålitelig antivirusprogram og aktiver sanntidsbeskyttelse for systemet ditt. Som alltid anbefaler vi at du unngår mistenkelige nettsteder eller kilder på nettet.
