Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Екатерина Быстрова 08 Апреля 2021 - 09:13

...

Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Авторы программы-вымогателя REvil недавно добавили своему детищу новые возможности, благодаря которым операторы теперь могут автоматизировать шифрование файлов в безопасном режиме (Safe Mode) после смены паролей пользователей Windows.

В марте вредоносная программа REvil/Sodinokibi получила возможность работать в безопасном режиме операционной системы Windows. Шифровальщик пользуется аргументом «-smode», с помощью которого перезагружает компьютер в безопасный режим и оттуда уже шифрует файлы жертвы.

Специалисты полагают, что авторы вредоноса добавили эти функциональные возможности для обхода антивирусных программ и других средств защиты. Дополнительным плюсом для злоумышленников является остановка почтовых серверов и софта для резервного копирования, что позволяет более качественно зашифровать все данные.

Как отметили исследователи в области кибербезопасности, в реализацию нового метода REvil закралась ошибка, поскольку на момент анализа вымогателю нужно было, чтобы кто-нибудь вручную перезагрузил компьютер в Safe Mode.

Тем не менее новые образцы REvil, которые обнаружил специалист под ником R3MRUM, используют более продвинутый способ: меняют пароль пользователя для входа в Windows, а затем настраивают операционную систему на автоматическую перезагрузку.

Забавно, что пользовательский пароль меняется на «DTrump4ever» («Дональд Трамп навсегда»), для чего зловред конфигурирует следующие значения в ключе реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"

Следующая главная новость »

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »

Татьяна Никитина 30 Января 2026 - 19:21

Утечки информации Умышленные утечки информации Инсайдеры Кража данных Домашние пользователи Корпорации Google

Бывшему сотруднику Google грозит 15 лет за кражу секретов ИИ-разработок

Большое жюри суда Северной Каролины утвердило обвинительное заключение по делу 38-летнего Линь-Вэй Дина (Linwei Ding), открытому в связи с кражей у Google более 2000 документов, связанных с разработками в сфере ИИ.

По версии следствия, Дин, проработавший в Google программистом с 2019 года до конца 2023-го, решил создать свой стартап в КНР и даже встречался с потенциальными инвесторами, попросив сослуживца прикрыть свое отсутствие в офисе.

Чтобы не начинать с чистого листа, предприимчивый инженер стал выкачивать данные из сети работодателя — о суперкомпьютерном ЦОД, специально построенном для ИИ, о софте для его управления, ИИ-моделях, приложениях, кастомных чипах.

Исходники он скачивал в Apple Notes на рабочем MacBook, а затем конвертировал их в PDF и под своим Google-аккаунтом выгружал в облако, чтобы замести следы. За две недели до увольнения Дин скачал все украденные секреты на свой персональный компьютер.

Когда пропажу обнаружили, техногигант обратился в суд. Арест подозреваемого в связи с выдвинутыми обвинениями состоялся в марте 2024 года.

Позднее выяснилось, что тот также подал заявку на участие в программе правительства КНР, призванной обеспечить приток в страну специалистов по исследованиям и разработке. Этот факт позволял трактовать кражу секретов Google как промышленный шпионаж в пользу иностранного государства.

В США Дину инкриминируют семь эпизодов хищения коммерческой тайны и семь эпизодов экономического шпионажа. По первой статье ему грозит до 10 лет лишения свободы, по второй — до 15 лет.

Российские системы виртуализации — подробнее в эфире AM Live. Регистрируйтесь! »