Программа-вымогатель REvil автоматически переводит Windows в безопасный режим

  • Если устройство было заражено вымогателем REvil, автоматический вход в безопасный режим обеспечивается после перезагрузки.
  • Благодаря последним изменениям, внесенным во вредоносный код, от пользователя не требуется никаких действий.
  • Лучшей защитой от этого типа атак программ-вымогателей остается надежный антивирус.
  • Отчеты показывают, что большинство антивирусных инструментов могут обнаруживать атаки вымогателей REvil даже после внесения изменений.
Revil вымогатель принудительная перезагрузка

Недавнее исследование безопасности показало, что REvil / Sodinokibi вымогатель усовершенствовал свою тактику атак, чтобы обеспечить доступ к операционным системам жертв.

Применяемые изменения изменяют пароль пользователя для входа в систему и вызывают принудительную перезагрузку системы только для того, чтобы позволить вредоносной программе зашифровать файлы. Могут быть затронуты как старые, так и новые операционные системы Windows.

Результаты исследования опубликовал исследователь R3MRUN на своем Аккаунт в Твиттере.

Как программа-вымогатель REvil заставляет войти в безопасный режим?

До этого изменения программа-вымогатель использовала аргумент командной строки -smode для перезагрузки устройства в Безопасный режим, но пользователю нужно было вручную получить доступ к этой среде.

Это хитрый и новый метод кибератаки, учитывая, что безопасный режим должен быть… безопасным и даже рекомендуется в качестве безопасной среды для очистки от вредоносных программ в случае повреждения системы.

Более того, в безопасном режиме процессы не прерываются программное обеспечение безопасности или серверы.

Чтобы не вызывать подозрений, код вымогателя был удобно модифицирован. Теперь, используя аргумент -smode, программа-вымогатель также изменяет пароль пользователя на DTrump4ever, отображаются сообщения.

Следовательно, вредоносный файл изменил некоторые записи реестра, и Windows автоматически перезагрузится с новыми учетными данными.

Предполагается, что используемый код будет следующим:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever

Исследователь также указал на два источника VirusTotal с модифицированным образцом атаки и без него. Самый надежный способ защитить вашу систему от такой попытки - это надежный антивирус.

Получите ESET Internet Security

ESET был одним из 70 инструментов безопасности, которые были протестированы на обнаружение вымогателя REvil (модифицированного или нет); Обнаружено 59 решений.

Поэтому не забудьте установить надежный антивирус и включить защиту в реальном времени для вашей системы. Как всегда, мы также советуем избегать подозрительных веб-сайтов или источников в Интернете.

Программа-вымогатель Zepto вернулась, Защитник Windows не может ее заблокировать

Программа-вымогатель Zepto вернулась, Защитник Windows не может ее заблокироватьпрограммы вымогателиКибербезопасность

Программа-вымогатель Zepto - очень хитрая программа, которая уже довольно долгое время беспокоит пользователей Windows. Впервые обнаруженное в июле, похоже, что это вредоносное ПО стало более актив...

Читать далее
Храните теневую копию тома в Windows 10 в безопасности [Программа-вымогатель]

Храните теневую копию тома в Windows 10 в безопасности [Программа-вымогатель]программы вымогатели

Программы-вымогатели часто удаляют теневые копии Windows с помощью программы Microsoft vssadmin.exe.Теперь вы можете использовать Raccine для завершения всех процессов, которые пытаются удалить тен...

Читать далее
Осторожно: поддельные электронные письма Центра обновления Windows устанавливают на ПК программы-вымогатели

Осторожно: поддельные электронные письма Центра обновления Windows устанавливают на ПК программы-вымогателипрограммы вымогателиобновления Windows 10

Исследования Trustwave обнаружили мошенничество с программами-вымогателями Центра обновления Windows. Команда Trustwave должным образом обновила свой блог, чтобы предупредить пользователей о поддел...

Читать далее