- Om en enhet har infekterats med REvil ransomware, garanterar automatisk inloggning i felsäkert läge vid omstart.
- Med de senaste ändringarna implementerade i den skadliga koden behövs inga åtgärder från användaren.
- Det bästa skyddet mot denna typ av ransomware-attack förblir ett pålitligt antivirusprogram.
- Rapporter visar att de flesta antivirusverktyg kan upptäcka REvil ransomware-attacker även efter ändringarna.
Ny säkerhetsforskning avslöjade att REvil / Sodinokibi ransomware har förfinat sin attacktaktik för att säkerställa tillgång till offrens operativsystem.
De tillämpade ändringarna ändrar användarens systeminloggningslösenord och tvingar en systemstart om så att skadlig kod kan kryptera filerna. Både äldre och nyare Windows-operativsystem kan påverkas.
Resultaten av detta publicerades av forskaren R3MRUN på hans Twitter-konto.
Hur fungerar REvil ransomware för att tvinga inloggning i säkert läge?
Före ändringen skulle ransomware ha använt ett kommandoradsargument -smode för att starta om enheten till Säkert läge, men det behövde användaren manuellt komma åt den miljön.
Detta är en lömsk och ny cyberattackmetod, med tanke på att Safe Mode ska vara... säkert och rekommenderas till och med som en säker miljö för rengöring av skadlig programvara vid systemkorruption.
Mer i processer avbryts inte i felsäkert läge säkerhetsprogramvara eller servrar.
För att undvika misstankar har ransomware-koden ändrats bekvämt. Nu tillsammans med argumentet -smode ändrar ransomware också användarens lösenord till DTrump4evervisas meddelandena.
Följaktligen ändrade den skadliga filen vissa registerposter och Windows startas om automatiskt med de nya uppgifterna.
Den använda koden antas vara följande:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
Standardanvändarnamn = [kontonamn]
DefaultPassword = DTrump4ever
Forskaren påpekade också två VirusTotal-källor med och utan det modifierade urvalet av attacken. Det säkraste sättet att skydda ditt system mot ett sådant försök är fortfarande ett pålitligt antivirusprogram.
⇒ Skaffa ESET Internet Security
ESET var ett av de 70 säkerhetsverktygen som testades för att upptäcka REvil ransomware (modifierad eller inte); 59 lösningar upptäckte det.
Så se till att installera ett tillförlitligt antivirusprogram och aktivera realtidsskydd för ditt system. Som alltid rekommenderar vi att du undviker misstänkta webbplatser eller källor.
