最新发现的SNATCH勒索软件可以自动进入安全模式杀掉反病毒软件

国外安全公司SOPHOS研究人员日前监测到恶性勒索软件 , 该勒索软件采用极其复杂的手段规避反病毒软件拦截。

研究人员将这款勒索软件称之为抢夺性恶意软件,因为该软件自动进入安全模式将其他软件全部卸载再加密文件。

我们知道安全模式下理论上所有非微软的第三方软件都无法自启动,即便是杀毒软件也同样受到这个定律的限制。

而这款勒索软件将自己伪装成系统服务再利用安全模式的限制,将已安装的杀毒软件卸载然后就可以占领计算机。

最新发现的SNATCH勒索软件可以自动进入安全模式杀掉反病毒软件

面向企业的勒索软件:

这款勒索软件并不会广泛撒网尽可能感染更多计算机来进行勒索,而是收集计算机数据然后再精心挑选潜在目标。

背后的开发团队主要利用微软远程桌面 , VNC、Teamviewer、Webshell和SQL注入来尝试感染某些种子计算机。

如果企业使用这些软件或工具但没有做好足够的安全防御,则有可能会被黑客扫描到然后利用漏洞入侵企业内网。

成功入侵企业内网后该勒索软件会预先收集企业相关信息和敏感资料,通常监视数周后黑客才会决定下一步动作。

伪装成系统服务进行启动:

为解决反病毒软件问题该勒索软件会将自己伪装成系统服务,SNATCH 伪装成的软件名称为SuperBackupMan。

这个名称是系统备份用的工具因此可能会让用户放松警惕,不过该软件只要被安装就无法卸载、暂停或停止运行。

同时该软件会强制启动计算机自动进入安全模式,在安全模式里将其他系统工具例如反病毒或清理软件直接卸载。

此外为防止用户通过备份恢复数据该勒索软件还会寻找并删除所有能够找到的 Windows 卷影备份或系统还原点。

至于该勒索软件是如何在安全模式下实现自启动的目前尚不清楚,不过这种卸载杀毒软件的策略效果确实比较好。

在成功卸载杀毒软件后勒索软件会再次启动计算机退出安全模式,然后在启动后便开始将用户所有文件进行加密。

当然该勒索软件也采用高强度算法进行文件加密因此想要暴力破解几乎不可能的,建议企业最好日常备份好文件。

本文来源 Sophos,由 山外的鸭子哥 整理编辑,其版权均为 Sophos 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

4 条评论,访客:4 条,站长:0 条
  1. Kinhold
    Kinhold发布于: 
    Google Chrome 85.0.4183.106 Google Chrome 85.0.4183.106 Windows 10 64位版 Windows 10 64位版

    过得了comodo Firewall 自动沙盒?

  2. jmacmillang
    jmacmillang发布于: 
    Google Chrome 75.0.3770.142 Google Chrome 75.0.3770.142 Windows 10 64位版 Windows 10 64位版

    只要被安装就无法卸载、暂停或停止运行——这怎么做到的?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 79.0.3945.79 Google Chrome 79.0.3945.79 Windows 10 64位版 Windows 10 64位版

      进程保护,尝试结束进程时系统提示无权操作,尝试卸载时进程运行中被占用。

  3. fudashuai
    fudashuai发布于: 
    Maxthon 5.3.8.2000 Maxthon 5.3.8.2000 Windows 10 64位版 Windows 10 64位版

    啊?啊!太可怕了!

发表评论