惡意軟體攻擊不斷,REvil勒索軟體(又稱為Sodinokibi)在這兩年帶來了顯著的危害,持續傳出有企業組織遭受攻擊,如上週也傳出疑攻擊了臺灣電腦大廠之一的宏碁。國外資安組織MalwareHunterTeam在推文揭露,他們察覺到勒索軟體REvil裡面有沒看過的樣本,樣本的功能是可以重啟受攻擊的電腦,並經由網路進入安全模式下執行。

據MalwareHunter指出,如果在Windows登錄檔發現*AstraZeneca,或是看到*franceisshit,就表示已成為攻擊的目標電腦。而什麼是*AstraZeneca跟*franceisshit呢?MalewareHunter提到*AstraZeneca的作用是讓電腦重啟進入安全模式,*franceisshit通常是在安全模式下執行Command命令,然後讓電腦在下次重新啟動後回到正常模式運作。

事實上,這個方法代表了勒索軟體REvil樣本,在安全模式下執行,除了可以不讓防毒軟體偵測到外,還能讓資安人員不易察覺,因為通常電腦會在一般模式下開啟,然而受攻擊的電腦如果重啟後,就會被加密檔案進而被勒索。

不過,在安全模式下執行的攻擊事件,其實,在去年也有類似攻擊發生,Snatch是以Windows服務安裝至電腦,讓服務在安全模式下還能夠執行。

根據MalwareHunter在查看Windows登錄檔時,可以看到被呼叫的指令是*AstraZeneca。

接下來,他們繼續查看發現還有不同的指令,發現另一個呼叫的指令是*franceisshit,也會造成威脅。


熱門新聞

Advertisement