Connectez-vous avec nous

Ordinateurs et informatique

Snatch ransomware redémarre les PC en mode sans échec pour contourner les outils de sécurité

Une nouvelle souche du rançongiciel Snatch, qui redémarre les ordinateurs infectés en mode sans échec afin de contourner les solutions de sécurité, a été découverte par les chercheurs en sécurité de l'équipe Sophos Managed Threat Response et des SophosLabs.

En faisant démarrer les appareils Windows infectés en mode sans échec, le ransomware est capable de crypter les fichiers de la victime car la plupart des outils de sécurité sont automatiquement désactivés en mode sans échec.

Bien que le rançongiciel Snatch ait été écrit dans la multiplateforme de Google langage de programmation Go, les chercheurs ont expliqué dans un article de blog qu'il ne peut fonctionner que sur des appareils Windows, en disant:

"Le logiciel malveillant que nous avons observé n'est pas capable de s'exécuter sur des plates-formes autres que Windows. Snatch peut s'exécuter sur la plupart des versions courantes de Windows, de 7 à 10, en versions 32 et 64 bits. Les échantillons que nous avons vus sont également emballés avec le packer open source UPX pour masquer leur contenu. "

Le rançongiciel Snatch a été publié à la fin de 2018, mais il est d'abord devenu sensiblement actif en avril de cette année en raison d'une augmentation des notes de rançon et des échantillons de fichiers cryptés qui ont été soumis à la plateforme ID Ransomware de Michael Gillepsie.

Snatch ransomware

Afin de profiter du fait que les solutions anti-malware ne sont pas chargées en mode sans échec, le composant rançongiciel Snatch s'installe en tant que service Windows appelé SuperBackupMan qui a la capacité de s'exécuter en mode sans échec et ne peut pas non plus être arrêté ou suspendu .

SuperBackupMan force ensuite le redémarrage de la machine compromise et une fois en mode sans échec, le rançongiciel Snatch supprime ensuite "toutes les copies fantômes du volume sur le système" selon les chercheurs, ce qui empêche la "récupération judiciaire des fichiers cryptés par le rançongiciel".

Maintenant que la récupération des fichiers sans paiement est impossible, le malware commencera alors à crypter les fichiers de ses victimes.

Pour éviter d'être victime du rançongiciel Snatch, Sophos recommande aux organisations de ne pas exposer leurs services de bureau à distance à Internet ou d'essayer de les protéger en utilisant un VPN. La firme suggère également que les entreprises utilisent l'authentification multifactorielle pour protéger les comptes d'administrateur contre les attaques par force brute.

Via l'ordinateur de sommeil

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES