Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Екатерина Быстрова 08 Апреля 2021 - 09:13

...

Шифровальщик REvil меняет пароль пользователей Windows на DTrump4ever

Авторы программы-вымогателя REvil недавно добавили своему детищу новые возможности, благодаря которым операторы теперь могут автоматизировать шифрование файлов в безопасном режиме (Safe Mode) после смены паролей пользователей Windows.

В марте вредоносная программа REvil/Sodinokibi получила возможность работать в безопасном режиме операционной системы Windows. Шифровальщик пользуется аргументом «-smode», с помощью которого перезагружает компьютер в безопасный режим и оттуда уже шифрует файлы жертвы.

Специалисты полагают, что авторы вредоноса добавили эти функциональные возможности для обхода антивирусных программ и других средств защиты. Дополнительным плюсом для злоумышленников является остановка почтовых серверов и софта для резервного копирования, что позволяет более качественно зашифровать все данные.

Как отметили исследователи в области кибербезопасности, в реализацию нового метода REvil закралась ошибка, поскольку на момент анализа вымогателю нужно было, чтобы кто-нибудь вручную перезагрузил компьютер в Safe Mode.

Тем не менее новые образцы REvil, которые обнаружил специалист под ником R3MRUM, используют более продвинутый способ: меняют пароль пользователя для входа в Windows, а затем настраивают операционную систему на автоматическую перезагрузку.

Забавно, что пользовательский пароль меняется на «DTrump4ever» («Дональд Трамп навсегда»), для чего зловред конфигурирует следующие значения в ключе реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"

Следующая главная новость »

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!

Яков Шпунт 04 Марта 2026 - 17:34

Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес F6 RED Security

На активность ботов приходится 41% всех атак

Доля активности ботов в российском вредоносном трафике превысила 41%. При этом их действия всё точнее имитируют легитимное поведение пользователей, из-за чего такие атаки сложнее блокировать и своевременно выявлять. Чем убедительнее боты «маскируются» под людей, тем выше потенциальный ущерб и тем труднее обнаружить атаку на ранней стадии.

Об активизации «умных ботов» сообщил ТАСС со ссылкой на F6 и RED Security.

«Для каждого запроса создается уникальный IP-адрес и цифровой отпечаток устройства. "Интеллектуальный бот" во всем старается подражать человеку: кликает в разные точки страницы или приложения, делает паузы разной длительности между кликами и запросами, открывает в одном браузере несколько страниц одного и того же сервиса. Боты более низкого уровня действуют однотипно», — рассказали в F6.

Глава направления бизнес-аналитики RED Security Савва Ливчин в комментарии ТАСС отметил, что всё более широкое использование продвинутых алгоритмов позволяет ботам эффективнее обходить защитные механизмы. В F6 основным последствием «поумневших» ботов назвали быстрое исчерпание ресурсов приложений.

В RED Security значительный всплеск активности злонамеренных ботов фиксировали ещё в конце 2024 года: доля сгенерированного ими трафика достигла 30%. По данным F6, к концу 2025 года показатель вырос до 41%. В 2026 году тенденция, по оценкам компаний, сохраняется.

По данным StormWall, в 2025 году активность вредоносных ботов в России выросла в 1,7 раза. Это связывают с активностью хактивистов, высокой долей уязвимых устройств и геополитической ситуацией.

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!