REvil ransomware ล็อก Windows เข้าสู่ Safe Mode โดยอัตโนมัติ

การวิจัยด้านความปลอดภัยล่าสุดเปิดเผยว่า REvil/Sodinokibi แรนซัมแวร์ ได้ปรับปรุงกลยุทธ์การโจมตีเพื่อให้แน่ใจว่าสามารถเข้าถึงระบบปฏิบัติการของเหยื่อได้

การเปลี่ยนแปลงที่ใช้จะแก้ไขรหัสผ่านเข้าสู่ระบบของผู้ใช้และบังคับให้รีบูตระบบเท่านั้นเพื่ออนุญาตให้มัลแวร์เข้ารหัสไฟล์ ทั้งระบบปฏิบัติการ Windows ที่เก่ากว่าและใหม่กว่าอาจได้รับผลกระทบ

ผลการวิจัยเผยแพร่โดยนักวิจัย R3MRUN บน his บัญชีทวิตเตอร์.

REvil ransomware ทำหน้าที่บังคับให้เข้าสู่ระบบ Safe Mode อย่างไร?

ก่อนการเปลี่ยนแปลง แรนซัมแวร์จะใช้อาร์กิวเมนต์บรรทัดคำสั่ง -smode เพื่อรีบูตอุปกรณ์เป็น โหมดปลอดภัยแต่ต้องการให้ผู้ใช้เข้าถึงสภาพแวดล้อมนั้นด้วยตนเอง

นี่เป็นวิธีการลอบโจมตีทางไซเบอร์แบบใหม่ โดยพิจารณาว่า Safe Mode นั้นควรจะ…ปลอดภัย และยังได้รับการแนะนำว่าเป็นสภาพแวดล้อมที่ปลอดภัยสำหรับการล้างมัลแวร์ในกรณีที่ระบบเสียหาย

ยิ่งไปกว่านั้น ในขณะที่อยู่ในเซฟโหมด กระบวนการต่างๆ จะไม่ถูกขัดจังหวะโดย ซอฟต์แวร์รักษาความปลอดภัย หรือเซิร์ฟเวอร์

เพื่อหลีกเลี่ยงความสงสัย รหัส ransomware ได้รับการแก้ไขอย่างสะดวก ด้วยการใช้อาร์กิวเมนต์ -smode แรนซัมแวร์ยังเปลี่ยนรหัสผ่านของผู้ใช้เป็น DTrump4ever, ข้อความแสดง

ดังนั้น ไฟล์ที่เป็นอันตรายจึงแก้ไขรายการ Registry บางรายการ และ Windows จะรีบูตโดยอัตโนมัติด้วยข้อมูลประจำตัวใหม่

รหัสที่ใช้เชื่อว่ามีดังต่อไปนี้:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
เข้าสู่ระบบผู้ดูแลระบบอัตโนมัติ=1
DefaultUserName=[account_name]
DefaultPassword=DTrump4ever

นักวิจัยยังชี้ให้เห็นถึงแหล่งที่มาของ VirusTotal สองแหล่งที่มีและไม่มีตัวอย่างที่แก้ไขของการโจมตี วิธีที่มั่นใจที่สุดในการปกป้องระบบของคุณจากความพยายามดังกล่าวยังคงเป็นโปรแกรมป้องกันไวรัสที่เชื่อถือได้

⇒ รับ ESET Internet Security

ESET เป็นหนึ่งใน 70 เครื่องมือรักษาความปลอดภัยที่ได้รับการทดสอบเพื่อค้นหาแรนซัมแวร์ REvil (แก้ไขหรือไม่) ตรวจพบโซลูชัน 59 รายการ

ดังนั้นตรวจสอบให้แน่ใจว่าได้ติดตั้งโปรแกรมป้องกันไวรัสที่เชื่อถือได้และเปิดใช้งานการป้องกันแบบเรียลไทม์สำหรับระบบของคุณ และเช่นเคย เรายังแนะนำให้คุณหลีกเลี่ยงเว็บไซต์หรือแหล่งข้อมูลออนไลน์ที่น่าสงสัย