L’opération de ransomware REvil a ajouté une nouvelle capacité à chiffrer les fichiers dans Windows Safe Mode, probablement pour échapper à la détection par un logiciel de sécurité et pour un plus grand succès lors du chiffrement des fichiers.
Windows Safe Mode est un mode de démarrage spécial qui permet aux utilisateurs d’exécuter des tâches administratives et diagnostiques sur le système d’exploitation. Ce mode ne charge que le strict minimum des logiciels et des pilotes requis pour que le système d’exploitation fonctionne.
En outre, tous les programmes installés dans Windows qui sont configurés pour démarrer automatiquement ne démarreront pas en mode sans échec à moins que leur autorun ne soit configuré d’une certaine manière.
Une des façons de créer un autorun dans Windows est de créer des entrées sous les clés de registre suivantes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Les clés ‘Run’ lanceront un programme chaque fois que vous vous connecterez, tandis que la clé ‘RunOnce’ lancera un programme une seule fois, puis supprimera l’entrée du registre.
Par exemple, la clé de registre suivante démarre automatiquement le programme C:\Users\test\test.exe lorsque vous vous connectez à Windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Startup”=”C:\Users\test\test.exe”
Toutefois, l’autorun ci-dessus ne sera pas lancé en mode sans échec, sauf si vous ajoutez un astérisque (*) au début du nom de valeur comme suit:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“*Startup”=”C:\Users\test\test.exe”
REvil inclut maintenant un mode pour le mode sans-échec
Dans un nouvel échantillon du ransomware REvil découvert par MalwareHunterTeam, un nouvel argument de ligne de commande smode a été ajouté et oblige l’ordinateur à redémarrer en mode sans échec avant de chiffrer un appareil.
Pour ce faire, REvil exécutera les commandes suivantes pour forcer l’ordinateur à démarrer en mode sans échec avec mise en réseau lorsque Windows redémarre ensuite.
bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot networkIl crée ensuite un autorun ‘RunOnce’ appelé ‘*franceisshit’ qui exécute ‘bcdedit /deletevalue {current} safeboot’ après que les utilisateurs se soient connecté en mode sans échec.
Enfin, le ransomware effectue un redémarrage forcé de Windows qui ne peut pas être interrompu par l’utilisateur.
Juste avant la sortie du processus, il créera un autorun RunOnce supplémentaire nommé « AstraZeneca », ce qui est peut-être lié aux récentes délibérations de la France sur l’utilisation du vaccin.
Cet autorun va relancer le ransomware REvil sans l’argument -smode lorsque le prochain utilisateur se connecte après le redémarrage de l’appareil.
Il est important de se rappeler que ces deux entrées RunOnce seront exécutées après s’être connectées en mode sans échec et seront automatiquement supprimées par Windows.
Lors du redémarrage, l’appareil démarre en mode sans échec avec mise en réseau, et l’utilisateur sera invité à se connecter à Windows. Une fois qu’ils se connectent, le ransomware REvil sera exécuté sans l’argument -smode de sorte qu’il commence à crypter les fichiers sur l’appareil.
Windows exécutera également la commande ‘bcdedit/deletevalue {current} safeboot’ configurée par la clé de registre ‘*AstraZeneca’ afin que la machine puisse redémarrer en mode normal lorsque le ransomware est terminé.
Pendant que REvil crypte des fichiers, l’écran de mode sans échec sera vide, mais il est toujours possible d’utiliser Ctrl+Alt+Delete pour lancer le gestionnaire de tâches Windows. De là, vous pouvez voir l’exécutable, qui dans notre test est nommé « smode.exe, comme indiqué ci-dessous.
Pendant l’exécution, le ransomware empêchera les utilisateurs de lancer des programmes via le Gestionnaire de Tâche jusqu’à ce qu’il termine le chiffrement de l’appareil.
Une fois que l’appareil est crypté, il permettra au reste de la séquence de démarrage de procéder, et le bureau sera affiché avec une note de rançon et des fichiers chiffrés.
Une approche unique
La nouvelle opération en mode sans échec de REvil est un peu étrange car elle oblige les utilisateurs à se connecter à l’appareil après leur redémarrage en mode sans échec.
En outre, une fois qu’ils se connectent en mode sans échec, ils seront accueillis par un écran vide pendant que le ransomware chiffre l’appareil.
Ce comportement pourrait rendre les utilisateurs instantanément suspects et hiberner ou arrêter leurs ordinateurs pour être en sécurité.
Pour cette raison, il est possible que des attaquants exécutent manuellement la nouvelle commande de mode sans échec contre des ordinateurs spécifiques, tels que des machines virtuelles ou des serveurs, qu’ils veulent chiffrer sans problème.
Il s’agit d’une autre nouvelle méthode d’attaque qui force les professionnels de la sécurité et les administrateurs Windows à rester prudents car les gangs de ransomware créent constamment de nouvelles tactiques.
REvil n’est pas la seule opération de ransomware à utiliser le mode sans échec pour chiffrer les appareils.
En 2019, un autre ransomware connu sous le nom de « Snatch » a également ajouté la possibilité de chiffrer un appareil en mode sans échec à l’aide d’un service de Windows.
Pour en savoir plus :https://techsecuritenews.com/ransomware-revil-nouveau-mode-chiffrement-sans-echec/