Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Вымогатель AvosLocker может запускаться в безопасном режиме Windows

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 05-16-2025, 11:45 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.

Вымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме.
Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.
Согласно отчету исследователей из SophosLabs, операторы вымогателя AvosLocker используют легитимный инструмент развертывания для автоматизации управления исправлениями PDQ Deploy. С помощью инструмента хакеры размещают несколько пакетных скриптов Windows на устройстве, подготавливая плацдарм для атаки.
Скрипты изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности оконечных точек, включая Защитник Windows и продукты от «Лаборатории Касперского», Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance. Скрипты также создают новую учетную запись пользователя под названием newadmin на скомпрометированной системе, добавляя ее в группу пользователей «Администраторы».
Затем преступники настраивают учетную запись для автоматического входа в систему при перезагрузке в безопасном режиме с подключением к Сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу. Скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.
Если автоматический процесс выполнения полезной нагрузки завершается неудачно, оператор может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.
«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который без файлов выполняет полезную нагрузку программы-вымогателя», — пояснили эксперты.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 02:13 PM.

Contact Us - Carder.life - Archive - Top