Une modification récente du ransomware REvil permet aux acteurs de la menace d’automatiser le cryptage des fichiers via le mode sans échec après avoir changé les mots de passe Windows.

En mars, nous avons signalé un nouveau mode de cryptage en mode sans échec Windows ajouté au ransomware REvil / Sodinokibi. Ce mode peut être activé à l’aide de l’argument de ligne de commande -smode, qui redémarrerait l’appareil en mode sans échec, où il effectuerait le chiffrement des fichiers.

On pense que ce mode a été ajouté pour échapper à la détection par les logiciels de sécurité et pour arrêter les logiciels de sauvegarde, les serveurs de bases de données ou les serveurs de messagerie pour avoir plus de succès lors du cryptage des fichiers.

Cependant, au moment de notre rapport, le ransomware exigeait que quelqu’un se connecte manuellement en mode sans échec Windows avant que le cryptage ne démarre, ce qui pourrait déclencher des signaux d’alarme.

La nouvelle version connecte automatiquement Windows en mode sans échec

Fin mars, un nouvel échantillon du ransomware REvil a été découvert par le chercheur en sécurité R3MRUM qui affine la nouvelle méthode de cryptage en mode sans échec en modifiant le mot de passe de l’utilisateur connecté et en configurant Windows pour se connecter automatiquement au redémarrage.

Avec ce nouvel exemple, lorsque l’argument -smode est utilisé, le ransomware changera le mot de passe de l’utilisateur en ‘DTrump4ever».

Le ransomware configure ensuite les valeurs de registre suivantes afin que Windows se connecte automatiquement avec les nouvelles informations de compte.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
« AutoAdminLogon » = « 1 »
« DefaultUserName » = « [account_name] »
« DefaultPassword » = « DTrump4ever »

Bien que l’on ne sache pas si de nouveaux échantillons du chiffreur de ransomware REvil continuent d’utiliser le mot de passe «DTrump4ever», au moins deux échantillons téléchargés sur VirusTotal au cours des deux derniers jours continuent de le faire.

Ces changements illustrent comment les gangs de rançongiciels évoluent continuellement leurs tactiques pour chiffrer avec succès les appareils des victimes et forcer le paiement d’une rançon.

REvil a également récemment averti qu’ils …

Voir la source de cette publication