Csökkentett módban öli meg a fájlokat a REvil zsarolóvírus

​A REvil zsarolóprogram csökkentett módban indítja újra a Windows-t, majd minden értékes fájlt letitkosít. Eközben a felhasználó jelszavát sem kíméli.
 

A REvil zsarolóvírus napjaink egyik legtöbb problémát okozó kártékony programja. Folyamatosan fejlődik, és rendszeresen hívja fel magára a figyelmet az új képességeivel. Márciusban azzal került be a biztonsági hírekbe, hogy a fertőzött számítógépeken a Windows-t csökkentett módban indította újra, és így próbálta meg titkosítani a fájlokat.
 
Felmerül a kérdés, hogy miért is jó a vírusnak a csökkentett mód. Elsősorban azért, mert így nem indulnak el olyan szolgáltatások, amelyek fájlokat zárolnának. Így például az adatbáziskezelők sem, ezért akár nagyobb adatbázisok is kompromittálhatóvá válhatnak. A károkozó szempontjából további előny, hogy csökkentett módban nagyobb valószínűséggel tudja kikerülni a biztonsági szoftvereket és a biztonsági mentések sem futnak.
 
Persze a csökkentett módnak hátránya is van a vírus működése szempontjából. Egyrészt nagyon feltűnő a fertőzés, hiszen egy lebutított Windows indul el a felhasználó számára. Másrészt az újraindítást követően a felhasználónak ismét be kell jelentkeznie az operációs rendszerbe, és ekkor könnyen gyanút foghat. Ha pedig elmarad a hitelesítés, akkor a REvil sem tudja véghez vinni a károkozását. Ez utóbbi hátrányt azonban a kártevő legújabb variánsa már kiküszöböli.
 
Jelszavas manipuláció
 
Minden bizonnyal a csökkentett módos trükk sok esetben bukott meg a vírusterjesztők szempontjából, ezért hamar reagáltak, és már egy olyan REvil variánssal fertőzik a számítógépeket, amely a felhasználói bejelentkezéseket szükségtelenné teszi, vagyis teljesen automatizálttá vált a fertőzés titkosítási fázisa. Ezt a kártevő úgy éri el, hogy a Windows újraindítása előtt megváltoztatja a kiszemelt felhasználói fiók jelszavát. (Az eddig vizsgált esetekben az új jelszó a "DTrump4ever" lett.) Emellett a vírus a regisztrációs adatbázis alábbi kulcsában is manipulációkat hajt végre:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[fióknév]"
"DefaultPassword"="DTrump4ever"
 
A fenti változtatások hatására a fertőzés során csökkentett módban újraindul a Windows, majd automatikusan megtörténik a bejelentkezés, és a REvil rögtön elkezdi a fájlok titkosítását.
 
A Kaspersky szerint a REvil legújabb variánsa is jól mutatja, hogy a zsarolóvírusok miként fejlődnek, és hogyan változtatják a támadók a taktikáikat egyrészt a fertőzési módszerek, másrészt a pénzkövetelés szempontjából. A REvil mögötti kiberbanda volt az, amely nemrégen vezette be, hogy a fájltitkosítás mellett adatokat is szivárogtat, és ha még ekkor sem kapja meg a követelt összeget, akkor elosztott szolgáltatásmegtagadási (DDoS) támadást indít a célkeresztbe állított szervezet informatikai infrastruktúrája ellen.