- Če je bila naprava okužena z odkupno programsko opremo REvil, samodejna prijava v varni način zagotavlja ob ponovnem zagonu.
- Z najnovejšimi spremembami, ki so bile uvedene v zlonamerni kodi, uporabnik ne potrebuje ničesar.
- Najboljša zaščita pred tovrstnimi napadi ransomware ostaja zanesljiv protivirusni program.
- Poročila kažejo, da lahko večina protivirusnih orodij zazna napade izsiljevalske programske opreme REvil tudi po spremembah.
Nedavne varnostne raziskave so pokazale, da REvil / Sodinokibi ransomware je izpopolnil taktiko napada, da bi zagotovil dostop do operacijskih sistemov žrtev.
Uporabljene spremembe spremenijo uporabniško uporabniško geslo za prijavo in prisilijo sistem, da se znova zažene samo, da zlonamerni programski opremi omogoči šifriranje datotek. To lahko vpliva na starejše in novejše operacijske sisteme Windows.
Rezultate je objavil raziskovalec R3MRUN na svojem Twitter račun.
Kako REvil ransomware deluje tako, da prisili prijavo v varnem načinu?
Pred spremembo bi ransomware uporabil argument ukazne vrstice -smode za ponovni zagon naprave v
Varni način, vendar je moral uporabnik ročno dostopati do tega okolja.To je prikrita in nova metoda kibernetskega napada, saj naj bi bil varni način… varen in ga celo priporočajo kot varno okolje za čiščenje zlonamerne programske opreme v primeru okvare sistema.
Še več, medtem ko v varnem načinu postopki ne prekinjajo varnostna programska oprema ali strežniki.
Da bi se izognili sumom, je bila koda ransomware priročno spremenjena. Zdaj skupaj z argumentom -smode ransomware spremeni tudi uporabniško geslo v DTrump4ever, se prikažejo sporočila.
Posledično je zlonamerna datoteka spremenila nekatere vnose v registru in Windows se samodejno znova zažene z novimi poverilnicami.
Uporabljena koda naj bi bila naslednja:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [ime_računa]
DefaultPassword = DTrump4ever
Raziskovalec je opozoril tudi na dva vira VirusTotal s spremenjenim vzorcem napada in brez njega. Najzanesljivejši način zaščite sistema pred takim poskusom ostaja zanesljiv protivirusni program.
⇒ Pridobite ESET Internet Security
ESET je bilo eno izmed 70 varnostnih orodij, ki so bila preizkušena za odkrivanje odkupne programske opreme REvil (spremenjena ali ne); Zaznalo ga je 59 rešitev.
Zato poskrbite, da boste namestili zanesljiv protivirusni program in omogočili sprotno zaščito vašega sistema. Kot vedno tudi svetujemo, da se izogibate sumljivim spletnim mestom ali virom.
