Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Вымогатель AvosLocker может запускаться в безопасном режиме Windows

24/12/21

safe modeВымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме.

Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.

Согласно отчету исследователей из SophosLabs, операторы вымогателя AvosLocker используют легитимный инструмент развертывания для автоматизации управления исправлениями PDQ Deploy. С помощью инструмента хакеры размещают несколько пакетных скриптов Windows на устройстве, подготавливая плацдарм для атаки.

Скрипты изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности оконечных точек, включая Защитник Windows и продукты от «Лаборатории Касперского», Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance. Скрипты также создают новую учетную запись пользователя под названием newadmin на скомпрометированной системе, добавляя ее в группу пользователей «Администраторы».

Затем преступники настраивают учетную запись для автоматического входа в систему при перезагрузке в безопасном режиме с подключением к Сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу. Скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.

Если автоматический процесс выполнения полезной нагрузки завершается неудачно, оператор может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.

«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который без файлов выполняет полезную нагрузку программы-вымогателя», — пояснили эксперты.

Темы:WindowsУгрозыВымогателиКиберугрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...