O REvil ransomware agora pode passar pelo modo de segurança do Windows 10 para alterar automaticamente a senha da conta. Dessa forma, ele obtém acesso mais fácil aos arquivos da vítima para criptografá-los e, em seguida, pode exigir dinheiro de resgate em troca da recuperação de dados.
Em março passado, pesquisadores de segurança cibernética descobriram que um ransomware chamado REVIL reinicia o PC da vítima no modo de segurança para criptografar seus arquivos pessoais. Para fazer isso, ele usa o argumento — smode no prompt de comando do Windows 10. Quando o processo estiver concluído, ele obtém acesso aos arquivos que podem ser criptografados antes de exigir um resgate do usuário. No entanto, a operação exigia até agora que este último executa o próprio reinício para que a encriptação ocorra.
As coisas agora mudaram. O malware de fato adquiriu dois novos recursos perturbadores, conforme relatado pelo pesquisador R3MRUM. Primeiro, REvil altera a senha da sessão sem que a vítima perceba. Então, para evitar suspeitas, ele reinicia o próprio PC em modo de segurança para finalmente iniciar automaticamente a criptografia de dados. Especificamente, ele configura o Windows 10 para que o sistema operacional reinicie no modo de segurança.
Relacionado: Windows 10 — Como remover todos os malwares gratuitamente com o Microsoft Safety Scanner
REvil ransomware evolui e se torna mais perigoso
Uma vez instalado, o REvil altera a senha do usuário para " DTrump4ever », antes de configurar o registro correspondente para que o Windows o reconheça como o identificador real. É possível que outra senha seja inserida no registro. No entanto, duas versões do malware postadas no banco de dados do VirusTotal usam "DTrump4ever".
É muito provável que esta adição tenha a função de passar despercebido pelo antivírus e vários programas de monitoramento, assim como o malware Snatch. Além disso, ele pode desativar os aplicativos de recuperação, bem como os servidores em nuvem, para aumentar suas chances de criptografar os arquivos.
Se as vítimas não pagarem o resgate exigido, eles se expõem ao risco de um ataque DDoS no seu endereço de e-mail e no dos seus colaboradores profissionais. Infelizmente, mesmo que atenda às demandas dos cibercriminosos, eles não têm certeza de colocar as mãos em seus dados criptografados. O malware Ryuk é conhecido por excluir arquivos roubados assim que o resgate é pago.
