Новая функция позволяет REvil обходить обнаружение решениями безопасности и эффективнее шифровать файлы.
https://www.securitylab.ru/upload/ib...4069a44c8c.jpg
Вымогательское ПО REvil получило новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.
Безопасный режим Windows - это особый режим загрузки Windows, позволяющий пользователям выполнять на операционной системе административные и диагностические задачи. В этом режиме загружается только самый минимум программ и драйверов, необходимых для работы ОС. Кроме того, запускающееся автоматически ПО в безопасном режиме не включаются (если автозапуск не был специально настроен для этого).
Одним из способов настройки автозапуска той или иной программы в безопасном режиме является создание записей в следующих разделах реестра:
<ul><li>HKEY_LOCAL_MACHINE\Software\Microsoft\Wind ows\Curr entVersion\Run</li>
</ul><ul><li>HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\Curre ntVersion\Run</li>
</ul><ul><li>HKEY_LOCAL_MACHINE\Software\Microsoft\W indows\Curr entVersion\RunOnce</li>
</ul><ul><li>HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\Curre ntVersion\RunOnce.</li>
</ul>
Ключи Run запускают программу после каждой авторизации пользователя на системе, а RunOnce запускают программу только один раз, после чего запись удаляется из реестра.
Для выполнения автозапуска в безопасном режиме в начале значения имени нужно добавить "звездочку" (*).
Например:
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "*Startup"="C:\Users\test\test.exe".</pre>
В новый вариант REvil был добавлен аргумент командной строки -smode, вызывающий принудительную перезагрузку компьютера в безопасном режиме перед его шифрованием. Для этого вымогатель выполняет команду, заставляющую компьютер перезагружаться в безопасном режиме с сетевыми драйверами (Safe Mode with Networking) при следующем запуске Windows: bootcfg /raw /a /safeboot:network /id 1 bcdedit /set {current} safeboot network.
Далее REvil создает ключ RunOnce "*franceisshit", выполняющий "bcdedit /deletevalue {current} safeboot" после того, как пользователь авторизуется в безопасном режиме. И наконец, вымогатель вызывает принудительный перезапуск Windows, который жертва не может прервать.
Непосредственно перед завершением процессов REvil создает дополнительный RunOnce "AstraZeneca", перезапускающий вымогательское ПО уже без аргумента -smode при авторизации следующего пользователя после перезагрузки компьютера. Когда пользователь авторизуется на системе, REvil выполняется и шифрует файлы.
Windows также запускает сконфигурированную ключом реестра *AstraZeneca команду bcdedit /deletevalue {current} safeboot для перезагрузки компьютера в обычном режиме после того, как REvil завершит шифрование файлов.
Пока вымогатель шифрует файлы, экран безопасной загрузки остается пустым, но пользователь может вызвать Диспетчер задач, нажав Ctrl+Alt+Delete, и увидеть процесс выполнения файла smode.exe. Однако запустить какую-либо программу через Диспетчер задач пользователь не сможет.
После того, как устройство будет зашифровано, загрузка системы продолжится, а на рабочем столе появится записка с требованием выкупа.