Шифровальщик REvil освоил Windows Safe Mode

Татьяна Никитина 19 Марта 2021 - 17:47

Домашние пользователи

Корпорации

Windows

Программы-вымогатели

Программы-шифровальщики

...

Шифровальщик REvil освоил Windows Safe Mode

Вымогатель REvil получил возможность шифровать файлы при работе Windows в безопасном режиме. По всей видимости, новая функциональность призвана повысить эффективность зловреда, а также надежней спрятать его от антивирусов.

Режим Windows Safe Mode, используемый для администрирования и диагностики, предполагает запуск минимума приложений и драйверов, необходимых для работы системы. Для прогона других программ, обычно стартующих автоматически, нужно внести изменения в ключи реестра Run (запуск при каждом входе в Windows) и RunOnce (однократный запуск с удалением записи в реестре).

Анализ показал, что новый вариант REvil умеет с помощью особой команды перезагружать Windows в безопасном режиме. Он также создает в реестре ключ RunOnce, обеспечивающий его повторный запуск после логина пользователя в Safe Mode. Для возврата системы в нормальный режим по завершении шифрования в реестре создается дополнительная запись RunOnce.

Пока зловред шифрует файлы, экран Safe Mode пуст, и пользователь не сможет запустить никакую программу с помощью Диспетчера задач. Последний можно открыть через Ctrl+Alt+Delete и в списке запущенных процессов обнаружить подозрительное имя — в данном случае smode.exe.

Рабочий стол возвращается на экран (с новым файлом — требованием выкупа), когда шифровальщик закончит свою работу и система вернется в нормальный режим.

Все эти признаки стороннего вмешательства позволяют вовремя принять надлежащие меры — выключить компьютер, пока шифрование не завершено. Не исключено, что в отдельных случаях операторы обновленного зловреда пытаются воспрепятствовать этому, запуская команду перевода Windows в Safe Mode вручную — к примеру, при атаке на сервер или виртуальную машину.

Стоит отметить, что REvil — не единственный шифровальщик, научившийся переводить Windows в безопасный режим. Такую же тактику избрали создатели Snatch, решив, что помех в этом случае будет меньше.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »