Le ransomware REvil est désormais capable de passer par le mode sans échec de Windows 10 pour modifier automatiquement le mot de passe du compte. De cette manière, il gagne plus facilement accès aux fichiers de la victime pour les crypter et peut ensuite exiger une rançon en échange de la récupération des données.

En mars dernier, les chercheurs en cybersécurité ont découvert qu’un ransomware nommé REvil redémarre le PC de sa victime en mode sans échec pour crypter ses fichiers personnels. Pour ce faire, il utilise l’argument — smode dans l’invite de commandes de Windows 10. Une fois le processus terminé, il gagne accès aux fichiers qu’il peut ensuite crypter avant d’exiger une rançon à l’utilisateur. Néanmoins, l’opération nécessitait jusqu’à maintenant que ce dernier procède lui-même au redémarrage pour le cryptage se fasse.

Les choses ont désormais changé. Le malware s’est en effet doté de deux nouvelles fonctionnalités inquiétantes, comme le rapporte le chercheur R3MRUM. Premièrement, REvil modifie le mot de passe de la session sans que la victime ne s’en rende compte. Ensuite, pour ne pas éveiller les soupçons, il redémarre lui-même le PC en mode sans échec pour enfin lancer automatiquement le cryptage des données. Plus précisément, il configure Windows 10 pour que le système d’exploitation redémarre en mode sans échec.

Sur le même sujet : Windows 10 — comment supprimer gratuitement tous les malwares avec Microsoft Safety Scanner

Le ransomware REvil évolue et devient plus dangereux

Une fois installé, REvil change le mot de passe utilisateur par « DTrump4ever », avant de configurer le Registre correspondant pour que Windows reconnaisse ce dernier comme le véritable identifiant. Il est possible qu’un autre mot de passe puisse être inscrit dans le registre. Toutefois, deux versions du malware postées sur la base de données VirusTotal utilisent « DTrump4ever ».

Il est très probable que cet ajout a pour fonction de passer inaperçu aux yeux des antivirus et divers programmes de surveillance, exactement comme le fait le malware Snatch. De plus, il peut de cette manière désactiver les applications de récupération, ainsi que les serveurs cloud afin d’augmenter ses chances de crypter les fichiers.

Si les victimes ne paient pas la rançon demandée, elles s’exposent à un risque d’attaque DDoS sur son adresse mail et celle de ses collaborateurs professionnels. Malheureusement, même si elle se plie aux exigences des cybercriminels, elles n’ont aucune certitude de remettre un jour la main sur leurs données cryptées. Le malware Ryuk est notamment connu pour supprimer les fichiers subtilisés une fois la rançon payée.

Source : Bleeping Computer