В марте текущего года ИБ-эксперты обнаружили, что малварь REvil (Sodinokibi) научилась использовать безопасный режим Windows для шифрования файлов. Перезапустив систему с использованием  -smode, вредонос избегает обнаружения и повышает свою эффективность. Также специалисты предполагали, что Safe Mode используется для отключения ПО для резервного копирования, серверов баз данных и почтовых серверов.

REvil в безопасном режиме

Однако месяц назад у этой методики был существенный минус: малвари требовалось, чтобы человек вручную вошел в систему в безопасном режиме (до начала шифрования), а это могло вызвать у пользователя закономерные подозрения.

Как теперь сообщает Bleeping Computer, исследователь известный под псевдонимом R3MRUM заметил новую модификацию REvil, которая меняет пароль вошедшего в систему пользователя и настраивает Windows на автоматический вход при перезагрузке.

В новой версии, наряду с использованием –smode, вымогатель меняет пароль пользователя на «DTrump4ever»  и вносит изменения в реестр, чтобы Windows автоматически входила в систему, используя новые параметры учетной записи.

Издание отмечает, что уже как минимум два образца REvil, загруженные на VirusTotal за последние два дня, используют в работе именно этот пароль.

2 комментария

  1. Аватар

    MamantoElAmigo

    12.04.2021 в 04:55

    сегодня заблокируют меня а завтра тебя и кому хуже кому лучше

  2. Аватар

    ShasOKais

    04.05.2021 в 14:07

    А пароль говорит о многом, и тем для кого он был предназначен.

Оставить мнение