Bleeping Computer 在2021年3月報告了 REvil / Sodinokibi 勒索軟件中添加的新 Windows 安全加密模式, 可以使用-smode命令行參數啟用,此參數會將設備重新啟動到安全模式,在安全模式下它將對文件進行加密。
相信駭客添加此模式是為了逃避防毒軟體的檢測並關閉備份軟件,數據庫服務器或郵件服務器,從而在加密文件時獲得更大的成功。
安全研究人員 R3MRUM 發現一個新的 REvil 勒索軟件樣本,該樣本通過更改登錄用戶的密碼並配置Windows在重新啟動時自動登錄來完善新的安全模式加密方法。
在這個新示例中,當使用-smode參數時,勒索軟件將用戶密碼更改為“ DTrump4ever”。
勒索軟件然後配置以下註冊表值,以便Windows將自動使用新帳戶信息登錄。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[account_name]"
"DefaultPassword"="DTrump4ever"
雖然尚不確定REvil勒索軟件加密程序的新樣本是否繼續使用“ DTrump4ever”密碼,但在過去兩天內至少有兩個樣本上載到了VirusTotal。
這些變化說明了勒索軟件幫派如何不斷發展其策略,以成功加密受害者的設備並強制勒索贖金。