Вымогательское ПО REvil получило новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы. Безопасный режим Windows — это особый режим загрузки Windows, позволяющий пользователям выполнять на операционной системе административные и диагностические задачи. В этом режиме загружается только самый минимум программ и драйверов, необходимых для работы ОС. Кроме того, запускающееся автоматически ПО в безопасном режиме не включаются (если автозапуск не был специально настроен для этого).Одним из способов настройки автозапуска той или иной программы в безопасном режиме является создание записей в следующих разделах реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Ключи Run запускают программу после каждой авторизации пользователя на системе, а RunOnce запускают программу только один раз, после чего запись удаляется из реестра.
Для выполнения автозапуска в безопасном режиме в начале значения имени нужно добавить «звездочку» (*). Например: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] «*Startup»=»C:\Users\test\test.exe». В новый вариант REvil был добавлен аргумент командной строки -smode, вызывающий принудительную перезагрузку компьютера в безопасном режиме перед его шифрованием. Для этого вымогатель выполняет команду, заставляющую компьютер перезагружаться в безопасном режиме с сетевыми драйверами (Safe Mode with Networking) при следующем запуске Windows: bootcfg /raw /a /safeboot:network /id 1 bcdedit /set {current} safeboot network. Далее REvil создает ключ RunOnce «*franceisshit», выполняющий «bcdedit /deletevalue {current} safeboot» после того, как пользователь авторизуется в безопасном режиме. И наконец, вымогатель вызывает принудительный перезапуск Windows, который жертва не может прервать. Непосредственно перед завершением процессов REvil создает дополнительный RunOnce «AstraZeneca», перезапускающий вымогательское ПО уже без аргумента -smode при авторизации следующего пользователя после перезагрузки компьютера. Когда пользователь авторизуется на системе, REvil выполняется и шифрует файлы. Windows также запускает сконфигурированную ключом реестра *AstraZeneca команду bcdedit /deletevalue {current} safeboot для перезагрузки компьютера в обычном режиме после того, как REvil завершит шифрование файлов. Пока вымогатель шифрует файлы, экран безопасной загрузки остается пустым, но пользователь может вызвать Диспетчер задач, нажав Ctrl+Alt+Delete, и увидеть процесс выполнения файла smode.exe. Однако запустить какую-либо программу через Диспетчер задач пользователь не сможет. После того, как устройство будет зашифровано, загрузка системы продолжится, а на рабочем столе появится записка с требованием выкупа.