- Ak bolo zariadenie infikované ransomvérom REvil, automatické prihlásenie do bezpečného režimu zabezpečí po reštarte.
- S najnovšími zmenami implementovanými v škodlivom kóde nie je od používateľa vyžadovaná žiadna akcia.
- Najlepšia ochrana pred týmto typom ransomwarového útoku zostáva spoľahlivým antivírusom.
- Správy ukazujú, že väčšina antivírusových nástrojov dokáže detekovať útoky ransomvéru REvil aj po vykonaných úpravách.
Posledný bezpečnostný výskum ukázal, že REvil / Sodinokibi ransomvér zdokonalila svoju taktiku útoku, aby zabezpečila prístup k operačným systémom obetí.
Aplikované zmeny upravia prihlasovacie heslo používateľa a vynútia reštart systému iba preto, aby malvér mohol súbory šifrovať. Ovplyvnené môžu byť staršie aj novšie operačné systémy Windows.
Výsledky boli publikované výskumníkom R3MRUN na jeho Twitter účet.
Ako ransomvér REvil vynúti prihlásenie v núdzovom režime?
Pred zmenou by ransomvér na reštartovanie zariadenia použil argument -smode príkazového riadku Bezpečnostný mód, ale bolo potrebné, aby používateľ mal k uvedenému prostrediu manuálny prístup.
Toto je zákerná a nová metóda kybernetických útokov, pretože bezpečný režim má byť... bezpečný a dokonca sa odporúča ako bezpečné prostredie na čistenie škodlivého softvéru v prípade poškodenia systému.
Navyše v núdzovom režime nie sú procesy prerušené bezpečnostný softvér alebo servery.
Aby sa zabránilo podozreniu, bol kód ransomvéru pohodlne upravený. Teraz spolu s argumentom -smode ransomvér tiež zmení heslo používateľa na DTrump4ever, správy sa zobrazia.
Škodlivý súbor následne upravil niektoré položky databázy Registry a systém Windows sa automaticky reštartuje s novými povereniami.
Použitý kód je považovaný za nasledovný:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [account_name]
DefaultPassword = DTrump4ever
Vedec tiež upozornil na dva zdroje VirusTotal s upravenou vzorkou útoku a bez nej. Najistejším spôsobom, ako chrániť váš systém pred takýmto pokusom, je spoľahlivý antivírus.
⇒ Získajte ESET Internet Security
ESET bol jedným zo 70 bezpečnostných nástrojov, ktoré boli testované na objavenie ransomvéru REvil (upraveného alebo neupraveného); Zistilo to 59 riešení.
Nezabudnite si teda nainštalovať spoľahlivý antivírus a aktivovať ochranu systému v reálnom čase. Ako vždy tiež odporúčame, aby ste sa vyhli podozrivým webovým serverom alebo zdrojom online.
