- Bir cihaza REvil fidye yazılımı bulaşmışsa, yeniden başlatmanın ardından Güvenli Modda otomatik oturum açma sağlanır.
- Kötü amaçlı kodda uygulanan en son değişikliklerle, kullanıcının herhangi bir işlem yapmasına gerek kalmaz.
- Bu tür fidye yazılımı saldırılarına karşı en iyi koruma, güvenilir bir antivirüs olarak kalır.
- Raporlar, çoğu antivirüs aracının, değişikliklerden sonra bile REvil fidye yazılımı saldırılarını algılayabildiğini gösteriyor.
Son güvenlik araştırması, REvil/Sodinokibi'nin fidye yazılımı kurbanların işletim sistemlerine erişim sağlamak için saldırı taktiklerini geliştirdi.
Uygulanan değişiklikler, kullanıcının sistem oturum açma parolasını değiştirir ve yalnızca kötü amaçlı yazılımın dosyaları şifrelemesine izin vermek için sistemi yeniden başlatmaya zorlar. Hem eski hem de daha yeni Windows işletim sistemleri etkilenebilir.
Araştırmanın sonuçları araştırmacı R3MRUN tarafından kendi sitesinde yayınlandı. Twitter hesabı.
REvil fidye yazılımı, Güvenli Modda oturum açmaya zorlamak için nasıl davranır?
Değişiklikten önce, fidye yazılımı, cihazı yeniden başlatmak için bir -smode komut satırı argümanı kullanırdı. Güvenli mod, ancak kullanıcının bu ortama manuel olarak erişmesi gerekiyordu.
Bu, Güvenli Modun güvenli olduğu düşünüldüğünde, sinsi ve yeni bir siber saldırı yöntemidir ve hatta sistem bozulması durumunda kötü amaçlı yazılımların temizlenmesi için güvenli bir ortam olarak önerilir.
Dahası, Güvenli Moddayken işlemler kesintiye uğramaz. güvenlik yazılımı veya sunucular.
Şüphe uyandırmaktan kaçınmak için fidye yazılımı kodu uygun şekilde değiştirildi. Artık fidye yazılımı -smode argümanını kullanmanın yanı sıra kullanıcının şifresini de değiştiriyor. DTrump4ever, mesajlar gösterilir.
Sonuç olarak, kötü amaçlı dosya bazı Kayıt Defteri girdilerini değiştirdi ve Windows yeni kimlik bilgileriyle otomatik olarak yeniden başlatıldı.
Kullanılan kodun aşağıdaki olduğuna inanılıyor:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
OtomatikYöneticiOturumu=1
DefaultUserName=[hesap_adı]
DefaultPassword=DTrump4ever
Araştırmacı ayrıca, saldırının değiştirilmiş örneği olan ve olmayan iki VirusTotal kaynağına dikkat çekti. Sisteminizi böyle bir girişime karşı korumanın en kesin yolu güvenilir bir antivirüsdür.
⇒ ESET Internet Security'yi edinin
ESET, REvil fidye yazılımını (değiştirilmiş veya değiştirilmemiş) keşfetmek için test edilen 70 güvenlik aracından biriydi; 59 çözüm tespit etti.
Bu nedenle, güvenilir bir antivirüs kurduğunuzdan ve sisteminiz için gerçek zamanlı korumayı etkinleştirdiğinizden emin olun. Her zaman olduğu gibi, şüpheli çevrimiçi web sitelerinden veya kaynaklardan da kaçınmanızı öneririz.
