В марте текущего года ИБ-эксперты обнаружили, что малварь REvil (Sodinokibi) научилась использовать безопасный режим Windows для шифрования файлов. Перезапустив систему с использованием -smode, вредонос избегает обнаружения и повышает свою эффективность. Также специалисты предполагали, что Safe Mode используется для отключения ПО для резервного копирования, серверов баз данных и почтовых серверов.
Однако месяц назад у этой методики был существенный минус: малвари требовалось, чтобы человек вручную вошел в систему в безопасном режиме (до начала шифрования), а это могло вызвать у пользователя закономерные подозрения.
Как теперь сообщает Bleeping Computer, исследователь известный под псевдонимом R3MRUM заметил новую модификацию REvil, которая меняет пароль вошедшего в систему пользователя и настраивает Windows на автоматический вход при перезагрузке.
В новой версии, наряду с использованием –smode, вымогатель меняет пароль пользователя на «DTrump4ever» и вносит изменения в реестр, чтобы Windows автоматически входила в систему, используя новые параметры учетной записи.
Издание отмечает, что уже как минимум два образца REvil, загруженные на VirusTotal за последние два дня, используют в работе именно этот пароль.