Вымогательское ПО REvil теперь шифрует файлы в безопасном режиме Windows

Вымогательское ПО REvil получило новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.

Безопасный режим Windows - это особый режим загрузки Windows, позволяющий пользователям выполнять на операционной системе административные и диагностические задачи. В этом режиме загружается только самый минимум программ и драйверов, необходимых для работы ОС. Кроме того, запускающееся автоматически ПО в безопасном режиме не включаются (если автозапуск не был специально настроен для этого).

Одним из способов настройки автозапуска той или иной программы в безопасном режиме является создание записей в следующих разделах реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce.

Ключи Run запускают программу после каждой авторизации пользователя на системе, а RunOnce запускают программу только один раз, после чего запись удаляется из реестра.

Для выполнения автозапуска в безопасном режиме в начале значения имени нужно добавить "звездочку" (*). Например: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "*Startup"="C:Users est est.exe".

В новый вариант REvil был добавлен аргумент командной строки -smode, вызывающий принудительную перезагрузку компьютера в безопасном режиме перед его шифрованием. Для этого вымогатель выполняет команду, заставляющую компьютер перезагружаться в безопасном режиме с сетевыми драйверами (Safe Mode with Networking) при следующем запуске Windows: bootcfg /raw /a /safeboot:network /id 1 bcdedit /set {current} safeboot network.

Далее REvil создает ключ RunOnce "*franceisshit", выполняющий "bcdedit /deletevalue {current} safeboot" после того, как пользователь авторизуется в безопасном режиме. И наконец, вымогатель вызывает принудительный перезапуск Windows, который жертва не может прервать.

Непосредственно перед завершением процессов REvil создает дополнительный RunOnce "AstraZeneca", перезапускающий вымогательское ПО уже без аргумента -smode при авторизации следующего пользователя после перезагрузки компьютера. Когда пользователь авторизуется на системе, REvil выполняется и шифрует файлы.

Windows также запускает сконфигурированную ключом реестра *AstraZeneca команду bcdedit /deletevalue {current} safeboot для перезагрузки компьютера в обычном режиме после того, как REvil завершит шифрование файлов.

Пока вымогатель шифрует файлы, экран безопасной загрузки остается пустым, но пользователь может вызвать Диспетчер задач, нажав Ctrl+Alt+Delete, и увидеть процесс выполнения файла smode.exe. Однако запустить какую-либо программу через Диспетчер задач пользователь не сможет.

После того, как устройство будет зашифровано, загрузка системы продолжится, а на рабочем столе появится записка с требованием выкупа.