- Если устройство было заражено вымогателем REvil, автоматический вход в безопасный режим обеспечивается после перезагрузки.
- Благодаря последним изменениям, внесенным во вредоносный код, от пользователя не требуется никаких действий.
- Лучшей защитой от этого типа атак программ-вымогателей остается надежный антивирус.
- Отчеты показывают, что большинство антивирусных инструментов могут обнаруживать атаки вымогателей REvil даже после внесения изменений.
Недавнее исследование безопасности показало, что REvil / Sodinokibi вымогатель усовершенствовал свою тактику атак, чтобы обеспечить доступ к операционным системам жертв.
Применяемые изменения изменяют пароль пользователя для входа в систему и вызывают принудительную перезагрузку системы только для того, чтобы позволить вредоносной программе зашифровать файлы. Могут быть затронуты как старые, так и новые операционные системы Windows.
Результаты исследования опубликовал исследователь R3MRUN на своем Аккаунт в Твиттере.
Как программа-вымогатель REvil заставляет войти в безопасный режим?
До этого изменения программа-вымогатель использовала аргумент командной строки -smode для перезагрузки устройства в Безопасный режим, но пользователю нужно было вручную получить доступ к этой среде.
Это хитрый и новый метод кибератаки, учитывая, что безопасный режим должен быть… безопасным и даже рекомендуется в качестве безопасной среды для очистки от вредоносных программ в случае повреждения системы.
Более того, в безопасном режиме процессы не прерываются программное обеспечение безопасности или серверы.
Чтобы не вызывать подозрений, код вымогателя был удобно модифицирован. Теперь, используя аргумент -smode, программа-вымогатель также изменяет пароль пользователя на DTrump4ever, отображаются сообщения.
Следовательно, вредоносный файл изменил некоторые записи реестра, и Windows автоматически перезагрузится с новыми учетными данными.
Предполагается, что используемый код будет следующим:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever
Исследователь также указал на два источника VirusTotal с модифицированным образцом атаки и без него. Самый надежный способ защитить вашу систему от такой попытки - это надежный антивирус.
⇒ Получите ESET Internet Security
ESET был одним из 70 инструментов безопасности, которые были протестированы на обнаружение вымогателя REvil (модифицированного или нет); Обнаружено 59 решений.
Поэтому не забудьте установить надежный антивирус и включить защиту в реальном времени для вашей системы. Как всегда, мы также советуем избегать подозрительных веб-сайтов или источников в Интернете.
