Вымогательское ПО REvil/Sodinokibi получило новую функцию шифрования файлов в безопасном режиме Windows (Windows Safe Mode). Безопасный режим можно включить с помощью аргумента командной строки -smode, перезагружающего устройство, после чего происходит шифрование файлов.
Предполагается, что эта функция была добавлена разработчиками для обхода обнаружения решениями безопасности и отключения ПО для резервного копирования, серверов баз данных и почтовых серверов в целях повышения эффективности шифрования файлов. Тем не менее, на тот момент требовалось вручную авторизоваться в Windows в безопасном режиме, что могло вызвать подозрение у жертвы.
Теперь вымогательское ПО меняет пароль авторизованного пользователя Windows и конфигурирует систему таким образом, чтобы автоматически авторизоваться после ее перезагрузки.
В новой версии REvil при использовании аргумента -smode пароль пользователя меняется на DTrump4ever. Затем вредонос устанавливает следующие значения реестра, чтобы после перезагрузки Windows он мог сразу же автоматически авторизоваться с новыми учетными данными:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"
Эти изменения показывают, как операторы вымогательского ПО постоянно развивают свою тактику для успешного шифрования устройств жертв.
Источник: https://www.securitylab.ru/news/518666.php
ВКонтакте
Комментарии
RSS лента комментариев этой записи