Вредонос REvil получил новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Эксперты считают, что злоумышленники добавили данный функционал, чтобы шифровальщик смог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.

Безопасный режим Windows - это особый режим загрузки Windows, позволяющий пользователям выполнять на операционной системе административные и диагностические задачи. Безопасный режим Windows имеет ограниченный функционал, при старте ОС загружается только самый минимум программ и драйверов, необходимых для работы ОС, и автоматически не запускаются программы, в частности антивирусы.

Для запуска программы в безопасном режиме Windows достаточно воспользоваться стандартными настройками автозапуска программ, которые задаются через реестр Windows (подразделы реестра Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce), при этом достаточно добавить символ "*" в начало имени ключа реестра.

Новая версия вируса-шифровальщика REvil имеет новый аргумент командной строки -smode, вызывающий принудительную перезагрузку компьютера в безопасном режиме перед его шифрованием. Для этого вредонос выполняет команду, заставляющую компьютер при перезагрузке загрузиться в безопасном режиме с сетевыми драйверами (Safe Mode with Networking). После настройки REvil вызывает принудительную перезагрузку ОС Windows, которую пользователь не имеет возможности отменить.

После авторизации пользователя в безопасном режиме, REvil запускает процесс шифрования файлов, при этом экран безопасной загрузки остается пустым. Если пользователь через комбинацию клавиш ALT+CTRL+DEL запустит Диспетчер задач, то он увидит только один процесс, который в этот момент выполняет шифрование файлов на компьютере жертвы. При этом жертва уже не сможет запустить никакой другой процесс через Диспетчер задач.

После того, как файлы на компьютере жертвы будут зашифрованы, ОС Windows перезагрузится в обычном режиме и на рабочем столе пользователь найдет оставленную злоумышленниками записку с требованием выкупа за расшифровку файлов.

Для защиты информации эксперты рекомендуют в обязательном порядке делать резервное копирование важных данных, пользоваться антивирусами с актуальной базой и своевременно устанавливать обновления операционной системы.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бекапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бакапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете киберпреступность и ее развитие!