REvil добавил новую возможность шифрования файлов в безопасном режиме Windows, что позволяет избежать обнаружения программным обеспечением безопасности и добиться большего успеха при шифровании файлов.

Безопасный режим Windows - это специальный режим запуска, который позволяет пользователям запускать административные и диагностические задачи в операционной системе. В этом режиме загружается только самый минимум программного обеспечения и драйверов, необходимых для работы операционной системы.

Более того, любые установленные в Windows программы, которые настроены на автоматический запуск, не будут запускаться в безопасном режиме, если их автозапуск не настроен определенным образом.

Один из способов создать автозапуск в Windows - создать записи в следующих разделах реестра:

   
Цитата
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\RunOnce
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce

Ключи «Run» запускают программу каждый раз, когда вы входите в систему, а ключи «RunOnce» запускает программу только один раз, а затем удаляет запись из реестра.

Например, следующий ключ реестра автоматически запустит программу C:\Users\test\test.exe при входе в Windows.

 
Цитата
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Startup"="C:\Users\test\test.exe"


Однако указанный выше автозапуск не запустится в безопасном режиме, если вы не добавите звездочку (*) в начало имени значения, как показано ниже:

Цитата
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "* Startup" = "C:\Users\test\test.exe"

REvil теперь включает режим 'Safe Mode'

В новом образце вымогателя REvil, обнаруженном MalwareHunterTeam, был добавлен новый аргумент командной строки -smode, который заставляет компьютер перезагружаться в безопасном режиме перед шифрованием устройства.

Для этого REvil выполнит следующие команды, чтобы компьютер загрузился в безопасном режиме с загрузкой сетевых драйверов при следующей перезагрузке Windows.

 
Цитата
 bootcfg /raw /a /safeboot:network /id 1
   bcdedit /set {current} safeboot network


Затем он создает автозапуск «RunOnce» под названием «* franceisshit», который выполняет «bcdedit / deletevalue {current} safeboot» после того, как пользователь войдет в безопасный режим.

Наконец, программа-вымогатель выполняет принудительный перезапуск Windows, который не может быть прерван пользователем.

Непосредственно перед завершением процесса он создаст дополнительный автозапуск RunOnce под названием «AstraZeneca», возможно, в связи с недавними обсуждениями во Франции использования вакцины.

Этот автозапуск перезапустит программу-вымогатель REvil без аргумента -smode, когда следующий пользователь войдет в систему после перезагрузки устройства.

Важно помнить, что обе эти записи RunOnce будут выполнены после входа в безопасный режим и будут автоматически удалены Windows.

После перезагрузки устройство запустится в безопасном режиме с загрузкой сетевых драйверов, и пользователю будет предложено войти в Windows. После входа в систему программа-вымогатель REvil будет запущена без аргумента -smode, чтобы начать шифрование файлов на устройстве.

Windows также запустит команду «bcdedit / deletevalue {current} safeboot», настроенную ключом реестра «* AstraZeneca», чтобы компьютер мог перезагрузиться в нормальный режим после завершения работы программы-вымогателя.

Пока REvil шифрует файлы, экран безопасного режима будет пустым, но по-прежнему можно использовать Ctrl + Alt + Delete для запуска диспетчера задач Windows. Оттуда вы можете увидеть запущенный исполняемый файл, который в нашем тесте называется «smode.exe», как показано ниже.

Во время работы программа-вымогатель не позволяет пользователям запускать какие-либо программы через диспетчер задач, пока не завершит шифрование устройства.

После того, как устройство будет зашифровано, будет продолжена остальная часть последовательности загрузки, а рабочий стол будет показан с запиской о выкупе и зашифрованными файлами.

Необычный подход

Новая операция REvil в безопасном режиме немного странная, поскольку требует от пользователей входа в систему после перезапуска в безопасном режиме.

Кроме того, как только они войдут в безопасный режим, они будут представлены с пустым экраном и загрузкой дисков, поскольку программа-вымогатель шифрует устройство.

Такое поведение может привести к тому, что пользователи могут перейти в спящий режим или выключат свои компьютеры в целях безопасности.

По этой причине возможно, что злоумышленники вручную запускают новую команду безопасного режима на определенных компьютерах, таких как виртуальные машины или серверы, которые они хотят зашифровать без проблем.

Независимо от причин, это еще один новый метод атаки, на который следует обратить внимание специалистам по безопасности и администраторам Windows, поскольку группы вымогателей постоянно меняют свою тактику.

REvil - не единственная операция, использующая безопасный режим для шифрования устройств.

В 2019 году еще одна программа-вымогатель, известная как Snatch, также добавила возможность шифровать устройство в безопасном режиме с помощью службы Windows.

https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/