在MalwareHunterTeam发现的REvil勒索软件的新样本中,添加了新的-smode命令行参数,该参数强制计算机在加密设备之前重新启动进入安全模式。重新启动时,设备将在安全模式下启动并联网,系统将提示用户登录Windows。一旦他们登录,REvil勒索软件将在不使用-smode参数的情况下执行,这样它就开始加密设备上的文件。当REvil加密文件时,“安全模式”屏幕将为空白,但是仍然可以使用Ctrl + Alt + Delete启动Windows任务管理器。在运行时,勒索软件将阻止用户通过任务管理器启动任何程序,直到它完成加密设备。一旦设备被加密,它将允许启动序列的其余部分继续进行,并且在桌面上将显示赎金记录和加密文件。
发表于 2021-3-20 18:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡