Шифровальщик Snatch перезагружает Windows в безопасном режиме

Шифровальщик Snatch перезагружает Windows в безопасном режиме

Авторы шифровальщика Snatch используют новую технику обхода антивирусных программ — вредонос перезагружает Windows в безопасный режим, после чего начинается процесс шифрования файлов.

Оказалось, что подход злоумышленников довольно успешно помогает избежать детектирования и пресечения деятельности вымогателя со стороны защитных решений.

Вместе с тем этот метод выглядит очевидным, ведь известно, что большинство антивирусных программ не запускаются в безопасном режиме Windows.

Разработавшие Snatch киберпреступники используют специальный ключ в реестре Windows, позволяющий перезапустить операционную систему в безопасном режиме. Для запуска шифровальщика задействуется специальная служба.

На интересный подход злоумышленников обратили внимание исследователи из компании Sophos Labs, которые были привлечены к расследованию заражений систем программами-вымогателями.

«Мы считаем, что опасность нового метода вымогателей нельзя преувеличить, поэтому публикуем эту информацию, чтобы предупредить пользователей об угрозе», — гласит отчёт экспертов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Число кибератак на Россию из Германии увеличилось, считает Лавров

Сергей Лавров, возглавляющий Министерство иностранных дел России, обеспокоен возросшим числом кибератак из Германии. Эту ситуацию глава МИД РФ уже успел обсудить с министром иностранных дел ФРГ Хайко Маасом.

Лавров подчеркнул, что значительное число атак «из германского сегмента Сети» наблюдалось и в прошлом году. В 2020-м ситуация развивается по тому же сценарию.

«Мы передали германской стороне наши опасения. Москва действительно озабочена ситуацией в нашем с Берлином взаимодействии по кибербезопасности», — заявил Лавров.

А в начале мая 2020 года уже у Германии были претензии к российской стороне. В частности, немецкие правоохранители выдали ордер на арест киберпреступника Дмитрия Бадина, который якобы действовал из России.

Берлин заявил, что Бадин смог взломать бундестаг весной 2015 года. О преступнике известно, что ему 29 лет, проживает он в Курске.

Более того, немецкие спецслужбы заявили, что российский киберпреступник состоит в военном подразделении номер 26165, входящем в состав Главного управления Генерального штаба Вооружённых сил Российской Федерации (бывший ГРУ).

В том же мае канцлер Германии Ангела Меркель сообщила о доказательствах атак российских хакеров на свой компьютер.

Также напомним, что на этой неделе США поделились информацией о вмешательстве в выборы со стороны России, Китая и Ирана.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru