REvil теперь меняет пароль для автоматической авторизации в безопасном режиме Windows

REvil теперь меняет пароль для автоматической авторизации в безопасном режиме Windows

Alexander Antipov

Ранее для авторизации REvil после перезагрузки Windows в безопасном режиме пароль требовалось вводить вручную.  

image

Недавние изменения в вымогательском ПО REvil теперь позволяют ему автоматизировать процесс шифрования файлов в безопасном режиме после смены пароля Windows.

Как в прошлом месяце сообщал SecurityLab, вымогательское ПО REvil/Sodinokibi получило новую функцию шифрования файлов в безопасном режиме Windows (Windows Safe Mode). Windows Safe Mode можно включить с помощью аргумента командной строки -smode, перезагружающего устройство в безопасном режиме, после чего начинается шифрование файлов.

Предполагается, что эта функция была добавлена разработчиками для обхода обнаружения решениями безопасности и отключения ПО для резервного копирования, серверов баз данных и почтовых серверов в целях повышения эффективности шифрования файлов. Тем не менее, на тот момент требовалось вручную авторизоваться в Windows в безопасном режиме, что могло вызвать подозрение у жертвы.

В конце марта исследователь безопасности R3MRUM обнаружил новый образец REvil, в котором новый метод шифрования файлов в безопасном режиме был улучшен. Теперь вредонос меняет пароль авторизованного пользователя Windows и конфигурирует систему таким образом, чтобы автоматически авторизоваться после ее перезагрузки.

В новой версии REvil при использовании аргумента -smode пароль пользователя меняется на DTrump4ever. Затем вредонос устанавливает следующие значения реестра, чтобы после перезагрузки Windows он мог сразу же автоматически авторизоваться с новыми учетными данными:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

«AutoAdminLogon»=»1»

«DefaultUserName»=»[account_name]»

«DefaultPassword»=»DTrump4ever».

Эти изменения показывают, как операторы вымогательского ПО постоянно развивают свою тактику для успешного шифрования устройств жертв и принуждения их к уплате выкупа.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.


Источник: Securitylab