Шифровальщик REvil освоил Windows Safe Mode

Шифровальщик REvil освоил Windows Safe Mode

Шифровальщик REvil освоил Windows Safe Mode

Вымогатель REvil получил возможность шифровать файлы при работе Windows в безопасном режиме. По всей видимости, новая функциональность призвана повысить эффективность зловреда, а также надежней спрятать его от антивирусов.

Режим Windows Safe Mode, используемый для администрирования и диагностики, предполагает запуск минимума приложений и драйверов, необходимых для работы системы. Для прогона других программ, обычно стартующих автоматически, нужно внести изменения в ключи реестра Run (запуск при каждом входе в Windows) и RunOnce (однократный запуск с удалением записи в реестре).

Анализ показал, что новый вариант REvil умеет с помощью особой команды перезагружать Windows в безопасном режиме. Он также создает в реестре ключ RunOnce, обеспечивающий его повторный запуск после логина пользователя в Safe Mode. Для возврата системы в нормальный режим по завершении шифрования в реестре создается дополнительная запись RunOnce.

Пока зловред шифрует файлы, экран Safe Mode пуст, и пользователь не сможет запустить никакую программу с помощью Диспетчера задач. Последний можно открыть через Ctrl+Alt+Delete и в списке запущенных процессов обнаружить подозрительное имя — в данном случае smode.exe.

 

Рабочий стол возвращается на экран (с новым файлом — требованием выкупа), когда шифровальщик закончит свою работу и система вернется в нормальный режим.

Все эти признаки стороннего вмешательства позволяют вовремя принять надлежащие меры — выключить компьютер, пока шифрование не завершено. Не исключено, что в отдельных случаях операторы обновленного зловреда пытаются воспрепятствовать этому, запуская команду перевода Windows в Safe Mode вручную — к примеру, при атаке на сервер или виртуальную машину.

Стоит отметить, что REvil — не единственный шифровальщик, научившийся переводить Windows в безопасный режим. Такую же тактику избрали создатели Snatch, решив, что помех в этом случае будет меньше.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ирландия передала США украинца в рамках дела о шифровальщике Conti

После экстрадиции 43-летний житель Ирландии Олексий Литвиненко предстал перед судом как фигурант уголовного дела, открытого в штате Теннеси два года назад. Украинца обвиняют в причастности к вымогательству с использованием Conti.

По данным ФБР, названный шифровальщик собрал более 1000 жертв в 30+ странах. Авторы атак с применением Conti суммарно получили не менее $150 млн в виде выкупа.

Согласно материалам дела, в период с 2020 года по июнь 2022-го Литвиненко контролировал кражу данных из зараженных сетей и отвечал за записки с требованием выкупа, которые тот оставлял в системах жертв.

Арест подозреваемого в Ирландии по запросу американских властей произошел в июле 2023 года. Процедуры, связанные с экстрадицией, заняли много времени и в этом месяце были, наконец, завершены.

В США уроженцу Украины инкриминируют преступный сговор с целью совершения мошеннических действий с использованием вычислительной техники и проводной связи. По совокупности обвиняемому грозит до 25 лет лишения свободы.

По данному делу проходят еще четверо иностранцев — специалист по криптозащите кода Максим Галочкин, программист Максим Руденский и два предполагаемых менеджера Conti-операций, Михаил Царев и Андрей Жуков. Их судьба пока неизвестна.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru