Un perverso ransomware potrebbe cambiare tutte le vostre password di Windows 10

Ransomware
(Immagine:: Shutterstock)

Il famigerato ransomware REvil, grazie a una nuova e perfezionata procedura d'attacco, potrebbe cambiare la password di accesso del vostro PC al fine di riavviare il computer in modalità provvisoria di Windows.

È prassi assodata che hacker e cracker aggiornino costantemente le loro metodologie di attacco per contrastare le crescenti misure di sicurezza a difesa dei sistemi, ma gli autori delle minacce dietro il ransomware REvil sono stati particolarmente abili nell'affinare il malware per rendere le loro campagne di aggressione informatica ancora più efficienti. I ricercatori di sicurezza hanno recentemente scoperto che REvil ha preso di mira i computer back office di Acer, chiedendo un riscatto record di 50 milioni di dollari americani.

Durante lo scorso mese i ricercatori di sicurezza hanno appreso della nuova metodologia di REvil che ha permesso agli autori delle minacce di crittografare i file della vittima grazie ad un riavvio di Windows in modalità provvisoria.

L'insicura modalità sicura

I ricercatori ritengono che questa recente strategia di attacco sia stata progettata per riuscire ad aggirare il rilevamento da parte dei sistemi di sicurezza di Windows e di qualsiasi altra protezione software impiegata dagli utenti.

La modalità provvisoria assicura inoltre che il ransomware non venga interrotto da processi dotati di privilegi elevati, come backup e server.

Sebbene questo approccio sia piuttosto recente, si affidava all'utente per riavviare manualmente Windows in modalità provvisoria. Le nuove modifiche riscontrate da Bleeping Computer, tuttavia, hanno permesso di scoprire che il processo è stato ora automatizzato.

Secondo quanto riferito, l'ultima versione del ransomware cambia prima la password dell'utente in DTrump4ever, e successivamente riconfigura alcuni valori di registro per consentire a Windows di accedere automaticamente grazie ad informazioni aggiornate di autenticazione.