В марте текущего года ИБ-эксперты обнаружили, что малварь REvil (Sodinokibi) научилась использовать безопасный режим Windows для шифрования файлов. Перезапустив систему с использованием  -smode, вредонос избегает обнаружения и повышает свою эффективность. Также специалисты предполагали, что Safe Mode используется для отключения ПО для резервного копирования, серверов баз данных и почтовых серверов.

REvil в безопасном режиме

Однако месяц назад у этой методики был существенный минус: малвари требовалось, чтобы человек вручную вошел в систему в безопасном режиме (до начала шифрования), а это могло вызвать у пользователя закономерные подозрения.

Как теперь сообщает Bleeping Computer, исследователь известный под псевдонимом R3MRUM заметил новую модификацию REvil, которая меняет пароль вошедшего в систему пользователя и настраивает Windows на автоматический вход при перезагрузке.

В новой версии, наряду с использованием –smode, вымогатель меняет пароль пользователя на «DTrump4ever»  и вносит изменения в реестр, чтобы Windows автоматически входила в систему, используя новые параметры учетной записи.

Издание отмечает, что уже как минимум два образца REvil, загруженные на VirusTotal за последние два дня, используют в работе именно этот пароль.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии