Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

Вымогательское ПО REvil получило новую функцию шифрования файлов в безопасном режиме Windows

E-mail Печать PDF
(20 голоса, среднее 2.90 из 5)

Вымогательское ПО REvil/Sodinokibi получило новую функцию шифрования файлов в безопасном режиме Windows (Windows Safe Mode). Безопасный режим можно включить с помощью аргумента командной строки -smode, перезагружающего устройство, после чего происходит шифрование файлов.

Предполагается, что эта функция была добавлена разработчиками для обхода обнаружения решениями безопасности и отключения ПО для резервного копирования, серверов баз данных и почтовых серверов в целях повышения эффективности шифрования файлов. Тем не менее, на тот момент требовалось вручную авторизоваться в Windows в безопасном режиме, что могло вызвать подозрение у жертвы.

Теперь вымогательское ПО меняет пароль авторизованного пользователя Windows и конфигурирует систему таким образом, чтобы автоматически авторизоваться после ее перезагрузки.

В новой версии REvil при использовании аргумента -smode пароль пользователя меняется на DTrump4ever. Затем вредонос устанавливает следующие значения реестра, чтобы после перезагрузки Windows он мог сразу же автоматически авторизоваться с новыми учетными данными:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoAdminLogon"="1"

"DefaultUserName"="[account_name]"

"DefaultPassword"="DTrump4ever"

Эти изменения показывают, как операторы вымогательского ПО постоянно развивают свою тактику для успешного шифрования устройств жертв.

Источник: https://www.securitylab.ru/news/518666.php


 

Комментарии  

 
0 #1 Robert 23.01.2023 20:51
большое спасибо
Цитировать | Сообщить модератору
 
 
0 #2 Чарли 28.01.2023 20:45
Круто +++
Цитировать | Сообщить модератору
 
 
0 #3 Belka 25.02.2023 00:36
спасибо, очень интересно
Цитировать | Сообщить модератору
 
 
0 #4 Валера 06.03.2023 04:27
Спасибо за информацию
Цитировать | Сообщить модератору
 
 
0 #5 Казах 07.03.2023 00:37
very good
Цитировать | Сообщить модератору
 
 
0 #6 QaznardMow 21.03.2023 19:47
+++
Цитировать | Сообщить модератору
 
 
0 #7 Tobi 22.03.2023 07:07
Интересная новость
Цитировать | Сообщить модератору
 
 
0 #8 IplaldMam 31.03.2023 02:14
Полезная информация +++
Цитировать | Сообщить модератору
 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 26 гостей онлайн

Статистика

Яндекс.Метрика

Экспорт RSS

feed-image RSS

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум