Шифровальщик Snatch перезагружает Windows в безопасном режиме

Шифровальщик Snatch перезагружает Windows в безопасном режиме

Авторы шифровальщика Snatch используют новую технику обхода антивирусных программ — вредонос перезагружает Windows в безопасный режим, после чего начинается процесс шифрования файлов.

Оказалось, что подход злоумышленников довольно успешно помогает избежать детектирования и пресечения деятельности вымогателя со стороны защитных решений.

Вместе с тем этот метод выглядит очевидным, ведь известно, что большинство антивирусных программ не запускаются в безопасном режиме Windows.

Разработавшие Snatch киберпреступники используют специальный ключ в реестре Windows, позволяющий перезапустить операционную систему в безопасном режиме. Для запуска шифровальщика задействуется специальная служба.

На интересный подход злоумышленников обратили внимание исследователи из компании Sophos Labs, которые были привлечены к расследованию заражений систем программами-вымогателями.

«Мы считаем, что опасность нового метода вымогателей нельзя преувеличить, поэтому публикуем эту информацию, чтобы предупредить пользователей об угрозе», — гласит отчёт экспертов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вайпер Coronavirus выводит Windows-компьютеры из строя

Новая деструктивная программа для Windows, получившая имя «Coronavirus», использует тему COVID-19 и перезаписывает главную загрузочную запись (MBR). Принципом действия свежий зловред похож на NotPetya.

В 2017 NotPetya деструктивная деятельность привела к серьёзным финансовым потерям во всём мире.

По словам команды исследователей SonicWall Capture Labs Threat, свежий вайпер действует таким же образом. Жертвы вредоноса «Coronavirus» наблюдают серый экран, мигающий курсор и короткое сообщение: «Ваш компьютер испорчен».

Само собой, авторы вайпера специально использовали яркое имя, отражающее текущее положение дел, чтобы повысить вероятность запуска вредоносной программы.

Для загрузки на компьютер жертвы используются сразу несколько популярных методов: вложение с электронным письмом, доставка файла с сервера или маскировка под легитимное приложение.

После запуска вайпер копирует во временную папку ряд вспомогательных файлов. Далее вредоносная программа пытается отключить контроль учётных записей пользователей (UAC) и Диспетчер процессов Windows.

Согласно отчёту специалистов, вайпер меняет обои рабочего стола жертвы и запрещает с помощью настроек менять их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru