恶意软件攻击不断,REvil勒索软件(又称为Sodinokibi)在这两年带来了显著的危害,持续传出有企业组织遭受攻击,如上周也攻击了台湾计算机大厂之一的宏碁。海外安全组织MalwareHunterTeam在推文披露,他们发现到勒索软件REvil里面有没看过的样本,样本的功能是可以重启受攻击的计算机,并经由网络进入安全模式下执行。
据MalwareHunter指出,如果在Windows注册表发现*AstraZeneca,或是看到*franceisshit,就表示已成为攻击的目标计算机。而什么是*AstraZeneca跟*franceisshit呢?MalewareHunter提到*AstraZeneca的作用是让计算机重启进入安全模式,*franceisshit通常是在安全模式下执行Command命令,然后让计算机在下次重新启动后回到正常模式运行。
事实上,这个方法代表了勒索软件REvil样本,在安全模式下执行,除了可以不让杀毒软件侦测到外,还能让安全人员不易发现,因为通常计算机会在一般模式下打开,然而受攻击的计算机如果重启后,就会被加密文件进而被勒索。
不过,在安全模式下执行的攻击事件,其实,在去年也有类似攻击发生,Snatch是以Windows服务安装至计算机,让服务在安全模式下还能够执行。
根据MalwareHunter在查看Windows注册表时,可以看到被调用的指令是*AstraZeneca。
接下来,他们继续查看发现还有不同的指令,发现另一个调用的指令是*franceisshit,也会造成威胁。