- Якщо пристрій інфіковано програмою-вимагателем REvil, автоматичний вхід у безпечний режим забезпечує перезавантаження.
- З останніми змінами, впровадженими у зловмисному коді, користувач не потребує жодних дій.
- Найкращий захист від цього типу атак-вимагачів залишається надійним антивірусом.
- Звіти показують, що більшість антивірусних інструментів можуть виявляти атаки вимагачів REvil навіть після внесення змін.
Нещодавнє дослідження безпеки показало, що REvil / Sodinokibi вимога уточнила свою тактику нападу, щоб забезпечити доступ до операційних систем жертв.
Застосовані зміни змінюють пароль для входу в систему користувача та змушують перезавантажувати систему лише для того, щоб шкідливе програмне забезпечення могло шифрувати файли. Це може вплинути як на старіші, так і на новіші операційні системи Windows.
Результати були опубліковані дослідником R3MRUN на його Обліковий запис у Twitter.
Як вимога-програма REvil діє для примусового входу в безпечний режим?
До зміни програма-вимога використовувала б аргумент командного рядка -smode для перезавантаження пристрою
Безпечний режим, але користувачеві потрібен був ручний доступ до цього середовища.Це підлий і новий метод кібератаки, враховуючи, що Безпечний режим повинен бути… безпечним і навіть рекомендується як безпечне середовище для очищення шкідливих програм у разі пошкодження системи.
Більше того, перебуваючи у безпечному режимі, процеси не перериваються програмне забезпечення безпеки або серверів.
Щоб уникнути підозр, код-програма-вимога був зручно модифікований. Тепер, використовуючи аргумент -smode, програма-вимога також змінює пароль користувача на DTrump4ever, відображаються повідомлення.
Отже, шкідливий файл змінив деякі записи реєстру, і Windows автоматично перезавантажиться з новими обліковими даними.
Вважається, що використовується код:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
AutoAdminLogon = 1
DefaultUserName = [ім'я_користувача]
DefaultPassword = DTrump4ever
Також дослідник вказав на два джерела VirusTotal із модифікованим зразком атаки та без нього. Надійнішим способом захисту вашої системи від такої спроби залишається надійний антивірус.
⇒ Отримайте ESET Internet Security
ESET був одним із 70 інструментів безпеки, які були протестовані для виявлення програми-вимогателя REvil (модифікованої чи ні); 59 рішень виявили це.
Тож обов’язково встановіть надійний антивірус та увімкніть захист у реальному часі для вашої системи. Як завжди, ми також радимо уникати підозрілих веб-сайтів або джерел.
