Программа-вымогатель REvil автоматически переводит Windows в безопасный режим

  • Если устройство было заражено вымогателем REvil, автоматический вход в безопасный режим обеспечивается после перезагрузки.
  • Благодаря последним изменениям, внесенным во вредоносный код, от пользователя не требуется никаких действий.
  • Лучшей защитой от этого типа атак программ-вымогателей остается надежный антивирус.
  • Отчеты показывают, что большинство антивирусных инструментов могут обнаруживать атаки вымогателей REvil даже после внесения изменений.
Revil вымогатель принудительная перезагрузка

Недавнее исследование безопасности показало, что REvil / Sodinokibi вымогатель усовершенствовал свою тактику атак, чтобы обеспечить доступ к операционным системам жертв.

Применяемые изменения изменяют пароль пользователя для входа в систему и вызывают принудительную перезагрузку системы только для того, чтобы позволить вредоносной программе зашифровать файлы. Могут быть затронуты как старые, так и новые операционные системы Windows.

Результаты исследования опубликовал исследователь R3MRUN на своем Аккаунт в Твиттере.

Как программа-вымогатель REvil заставляет войти в безопасный режим?

До этого изменения программа-вымогатель использовала аргумент командной строки -smode для перезагрузки устройства в Безопасный режим, но пользователю нужно было вручную получить доступ к этой среде.

Это хитрый и новый метод кибератаки, учитывая, что безопасный режим должен быть… безопасным и даже рекомендуется в качестве безопасной среды для очистки от вредоносных программ в случае повреждения системы.

Более того, в безопасном режиме процессы не прерываются программное обеспечение безопасности или серверы.

Чтобы не вызывать подозрений, код вымогателя был удобно модифицирован. Теперь, используя аргумент -smode, программа-вымогатель также изменяет пароль пользователя на DTrump4ever, отображаются сообщения.

Следовательно, вредоносный файл изменил некоторые записи реестра, и Windows автоматически перезагрузится с новыми учетными данными.

Предполагается, что используемый код будет следующим:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

Исследователь также указал на два источника VirusTotal с модифицированным образцом атаки и без него. Самый надежный способ защитить вашу систему от такой попытки - это надежный антивирус.

Получите ESET Internet Security

ESET был одним из 70 инструментов безопасности, которые были протестированы на обнаружение вымогателя REvil (модифицированного или нет); Обнаружено 59 решений.

Поэтому не забудьте установить надежный антивирус и включить защиту в реальном времени для вашей системы. Как всегда, мы также советуем избегать подозрительных веб-сайтов или источников в Интернете.

Wcry - это бесплатный инструмент для дешифрования программ-вымогателей для Windows XP.

Wcry - это бесплатный инструмент для дешифрования программ-вымогателей для Windows XP.программы вымогателиКибербезопасность

Для решения различных проблем с ПК мы рекомендуем Restoro PC Repair Tool:Это программное обеспечение исправит распространенные компьютерные ошибки, защитит вас от потери файлов, вредоносных програм...

Читать далее
Malwarebytes выпускает бесплатный инструмент для дешифрования программ-вымогателей VindowsLocker

Malwarebytes выпускает бесплатный инструмент для дешифрования программ-вымогателей VindowsLockerпроблемы с Malwarebytesпрограммы вымогатели

Malwarebytes выпустила бесплатный инструмент дешифрования, чтобы помочь жертвам недавней атаки вымогателя восстановить свои данные от киберпреступников, используя технику мошенничества с техподдерж...

Читать далее
Единственный способ избавиться от программы-вымогателя Popcorn Time - заразить других.

Единственный способ избавиться от программы-вымогателя Popcorn Time - заразить других.программы вымогатели

Было так много отчеты о программах-вымогателях в 2016 году мы сбились со счета. Большинство из них придерживаются типичного подхода:Заразить компьютер жертвы через электронный спам, ложные перенапр...

Читать далее