Вымогательское ПО REvil теперь шифрует файлы в безопасном режиме Windows

[Artifact]

Новая функция позволяет REvil обходить обнаружение решениями безопасности и эффективнее шифровать файлы.

Вымогательское ПО REvil получило новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.
Безопасный режим Windows - это особый режим загрузки Windows, позволяющий пользователям выполнять на операционной системе административные и диагностические задачи. В этом режиме загружается только самый минимум программ и драйверов, необходимых для работы ОС. Кроме того, запускающееся автоматически ПО в безопасном режиме не включаются (если автозапуск не был специально настроен для этого).
Одним из способов настройки автозапуска той или иной программы в безопасном режиме является создание записей в следующих разделах реестра:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce.

Ключи Run запускают программу после каждой авторизации пользователя на системе, а RunOnce запускают программу только один раз, после чего запись удаляется из реестра.
Для выполнения автозапуска в безопасном режиме в начале значения имени нужно добавить "звездочку" (*).
Например:
Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run] "*Startup"="C:\Users\test\test.exe".

В новый вариант REvil был добавлен аргумент командной строки -smode, вызывающий принудительную перезагрузку компьютера в безопасном режиме перед его шифрованием. Для этого вымогатель выполняет команду, заставляющую компьютер перезагружаться в безопасном режиме с сетевыми драйверами (Safe Mode with Networking) при следующем запуске Windows: bootcfg /raw /a /safeboot:network /id 1 bcdedit /set {current} safeboot network.
Далее REvil создает ключ RunOnce "*franceisshit", выполняющий "bcdedit /deletevalue {current} safeboot" после того, как пользователь авторизуется в безопасном режиме. И наконец, вымогатель вызывает принудительный перезапуск Windows, который жертва не может прервать.
Непосредственно перед завершением процессов REvil создает дополнительный RunOnce "AstraZeneca", перезапускающий вымогательское ПО уже без аргумента -smode при авторизации следующего пользователя после перезагрузки компьютера. Когда пользователь авторизуется на системе, REvil выполняется и шифрует файлы.
Windows также запускает сконфигурированную ключом реестра *AstraZeneca команду bcdedit /deletevalue {current} safeboot для перезагрузки компьютера в обычном режиме после того, как REvil завершит шифрование файлов.
Пока вымогатель шифрует файлы, экран безопасной загрузки остается пустым, но пользователь может вызвать Диспетчер задач, нажав Ctrl+Alt+Delete, и увидеть процесс выполнения файла smode.exe. Однако запустить какую-либо программу через Диспетчер задач пользователь не сможет.
После того, как устройство будет зашифровано, загрузка системы продолжится, а на рабочем столе появится записка с требованием выкупа.