DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

СМИ Вымогатель REvil меняет пароль на «DTrump4ever»

GLOV

Авторитет
Проверенный продавец

GLOV

Авторитет
Проверенный продавец
Статус
Offline
Регистрация
22 Июн 2018
Сообщения
1,508
Реакции
13
Покупки через Гарант
0
Продажи через Гарант
0
В марте текущего года ИБ-эксперты обнаружили, что малварь REvil (Sodinokibi) научилась использовать безопасный режим Windows для шифрования файлов. Перезапустив систему с использованием -smode, вредонос избегает обнаружения и повышает свою эффективность. Также специалисты предполагали, что Safe Mode используется для отключения ПО для резервного копирования, серверов баз данных и почтовых серверов.

Однако месяц назад у этой методики был существенный минус: малвари требовалось, чтобы человек вручную вошел в систему в безопасном режиме (до начала шифрования), а это могло вызвать у пользователя закономерные подозрения.


Как теперь сообщает Bleeping Computer, исследователь известный под псевдонимом R3MRUM заметил новую модификацию REvil, которая меняет пароль вошедшего в систему пользователя и настраивает Windows на автоматический вход при перезагрузке.

В новой версии, наряду с использованием –smode, вымогатель меняет пароль пользователя на «DTrump4ever» и вносит изменения в реестр, чтобы Windows автоматически входила в систему, используя новые параметры учетной записи.

Издание отмечает, что уже как минимум два образца REvil, загруженные на VirusTotal за последние два дня, используют в работе именно этот пароль.
 
Сверху