Шифровальщик REvil освоил Windows Safe Mode
Главная » Новости

Шифровальщик REvil освоил Windows Safe Mode

Татьяна Никитина 19 Марта 2021 - 17:47
...
Шифровальщик REvil освоил Windows Safe Mode

Вымогатель REvil получил возможность шифровать файлы при работе Windows в безопасном режиме. По всей видимости, новая функциональность призвана повысить эффективность зловреда, а также надежней спрятать его от антивирусов.

Режим Windows Safe Mode, используемый для администрирования и диагностики, предполагает запуск минимума приложений и драйверов, необходимых для работы системы. Для прогона других программ, обычно стартующих автоматически, нужно внести изменения в ключи реестра Run (запуск при каждом входе в Windows) и RunOnce (однократный запуск с удалением записи в реестре).

Анализ показал, что новый вариант REvil умеет с помощью особой команды перезагружать Windows в безопасном режиме. Он также создает в реестре ключ RunOnce, обеспечивающий его повторный запуск после логина пользователя в Safe Mode. Для возврата системы в нормальный режим по завершении шифрования в реестре создается дополнительная запись RunOnce.

Пока зловред шифрует файлы, экран Safe Mode пуст, и пользователь не сможет запустить никакую программу с помощью Диспетчера задач. Последний можно открыть через Ctrl+Alt+Delete и в списке запущенных процессов обнаружить подозрительное имя — в данном случае smode.exe.

 

Рабочий стол возвращается на экран (с новым файлом — требованием выкупа), когда шифровальщик закончит свою работу и система вернется в нормальный режим.

Все эти признаки стороннего вмешательства позволяют вовремя принять надлежащие меры — выключить компьютер, пока шифрование не завершено. Не исключено, что в отдельных случаях операторы обновленного зловреда пытаются воспрепятствовать этому, запуская команду перевода Windows в Safe Mode вручную — к примеру, при атаке на сервер или виртуальную машину.

Стоит отметить, что REvil — не единственный шифровальщик, научившийся переводить Windows в безопасный режим. Такую же тактику избрали создатели Snatch, решив, что помех в этом случае будет меньше.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бориславского
Екатерина Быстрова 15 Августа 2025 - 16:48
Малый и средний бизнесКорпорации
Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бориславского

На онлайн-конференции «ИБ без фильтров» 14 августа обсудили действия бизнеса по реагированию на инциденты информационной безопасности. Один из главных тезисов выступлений — компании должны быть готовы к кибератакам, которые рано или поздно произойдут. 

Даниил Бориславский, директор по продукту Staffcop направления инфобезопасности Контур.Эгида, отметил что службы информационной безопасности должны ориентироваться на то, что в критической ситуации они покажут наихудший возможный результат. Поэтому еще до инцидентов должны быть определены меры «скорой помощи» и оперативный штаб, который будет их принимать. 

Даниил Бориславский, директор по продукту Staffcop направления информационной безопасности Контур.Эгида:

«Когда инцидент произошел, важно реагировать быстро. Сообщите CISO и CEO об инциденте и начале работы по инциденту. Попытайтесь изолировать скомпрометированные сегменты сети. Оцените предварительный ущерб, соберите оперативный штаб. И предупредите родных, что задержитесь на работе».

 

Оперативный штаб должен решать несколько задач: восстанавливать работу систем, искать и расследовать причины инцидента, информировать регуляторов и работать с общественной реакцией. Важно синхронизировать свои действия каждые 8 часов, но можно и чаще. И важно не делать все сразу, а соблюдать последовательность действий. Например, не стоит восстанавливать все из бэкапов, не сегментировав сеть. 

Помимо оперативного штаба компании нужны еще как минимум три команды, о которых подробнее можно узнать, изучив запись конференции «ИБ без фильтров».

 

Чтобы быть готовыми к атакам, важно их репетировать. Например, можно выделить отдельный день под учения, заготовить план атаки, раздать конверты, включить таймер и начать действие. После «игры» проведите анализ, чтобы обнаружить слабые места и составить план действий после учений. 

Конференция «ИБ без фильтров» собрала на одной площадке представителей ИБ-рынка, которые обсудили кейсы, связанные с профилактикой и предотвращением инцидентов, организацией ИБ-отдела, вовлечением всех сотрудников в построение культуры безопасности. Зрителями конференции в день проведения стали почти 700 человек.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Злоумышленники взломали Telegram-аккаунт мурманского вице-губернатора
Новость
Злоумышленники взломали Telegram-аккаунт мурманского вице-гу...
KB5063060: экстренное обновление Windows 11 для геймеров с BSOD
Новость
KB5063060: экстренное обновление Windows 11 для геймеров с B...
В InfoWatch ARMA Industrial Firewall добавили поддержку Alpha.Link
Новость
В InfoWatch ARMA Industrial Firewall добавили поддержку Alph...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.