Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Авторы программы-вымогателя REvil недавно добавили своему детищу новые возможности, благодаря которым операторы теперь могут автоматизировать шифрование файлов в безопасном режиме (Safe Mode) после смены паролей пользователей Windows.

В марте вредоносная программа REvil/Sodinokibi получила возможность работать в безопасном режиме операционной системы Windows. Шифровальщик пользуется аргументом «-smode», с помощью которого перезагружает компьютер в безопасный режим и оттуда уже шифрует файлы жертвы.

Специалисты полагают, что авторы вредоноса добавили эти функциональные возможности для обхода антивирусных программ и других средств защиты. Дополнительным плюсом для злоумышленников является остановка почтовых серверов и софта для резервного копирования, что позволяет более качественно зашифровать все данные.

Как отметили исследователи в области кибербезопасности, в реализацию нового метода REvil закралась ошибка, поскольку на момент анализа вымогателю нужно было, чтобы кто-нибудь вручную перезагрузил компьютер в Safe Mode.

Тем не менее новые образцы REvil, которые обнаружил специалист под ником R3MRUM, используют более продвинутый способ: меняют пароль пользователя для входа в Windows, а затем настраивают операционную систему на автоматическую перезагрузку.

Забавно, что пользовательский пароль меняется на «DTrump4ever» («Дональд Трамп навсегда»), для чего зловред конфигурирует следующие значения в ключе реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Холдинг Fplus все ближе к банкротству

Банки «Санкт-Петербург» и ББР намерены обратиться в суд с исками о банкротстве холдинга Fplus и его генерального директора и совладельца Алексея Мельникова. Ранее аналогичное заявление подал Совкомбанк — он уже просил признать банкротами три юридические организации группы, включая головную структуру.

О планах банков «Санкт-Петербург» и ББР инициировать процедуру банкротства Fplus сообщил «Коммерсантъ», ссылаясь на публикации на портале «Федресурс».

По информации кредиторов, иски будут поданы против головной компании холдинга — «Ф-плюс оборудование и разработки» — а также против дочерней структуры «Мобильные и компьютерные технологии».

Ранее с иском о признании банкротом трёх юрлиц Fplus, включая головную компанию, обратился Совкомбанк. К процедуре затем присоединились Сбер и банк «Санкт-Петербург». По данным «СПАРК-Интерфакс», общая долговая нагрузка Fplus составляет 951 млн рублей.

Гендиректор «Промобита» (бренд Bitblaze) Максим Копосов отмечает, что похожие финансовые трудности сейчас испытывают многие компании — в том числе из-за снижения спроса со стороны государственных структур и госкомпаний.

Ассоциация разработчиков и производителей электроники прогнозирует, что российский рынок электронных компонентов по итогам 2025 года сократится примерно на 25%. В 2024 году рынок уже упал на 2,6%, а доля отечественной продукции на нём долгие годы не превышает 30%.

Юрист White Stone Игорь Ширин подчёркивает: шансов у поставщика на благоприятный исход остаётся немного. «Практика показывает, что крупные кредиторы, как правило, стремятся к быстрому и эффективному удовлетворению своих требований, что часто приводит к конкурсному производству и реализации имущества», — сказал он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru