SNATCH勒索软件强制进入安全模式卸载反病毒软件

业界

国外安全公司SOPHOS研究人员日前监测到恶性勒索软件 , 该勒索软件采用极其复杂的手段规避反病毒软件拦截。研究人员将这款勒索软件称之为抢夺性恶意软件,因为该软件自动进入安全模式将其他软件全部卸载再加密文件。我们知道安全模式下理论上所有非微软的第三方软件都无法自启动,即便是杀毒软件也同样受到这个定律的限制。而这款勒索软件将自己伪装成系统服务再利用安全模式的限制,将已安装的杀毒软件卸载然后就可以占领计算机。

 

SNATCH勒索软件强制进入安全模式卸载反病毒软件

 

面向企业的勒索软件:

这款勒索软件并不会广泛撒网尽可能感染更多计算机来进行勒索,而是收集计算机数据然后再精心挑选潜在目标。背后的开发团队主要利用微软远程桌面 , VNC、Teamviewer、Webshell和SQL注入来尝试感染某些种子计算机。如果企业使用这些软件或工具但没有做好足够的安全防御,则有可能会被黑客扫描到然后利用漏洞入侵企业内网。成功入侵企业内网后该勒索软件会预先收集企业相关信息和敏感资料,通常监视数周后黑客才会决定下一步动作。

 

伪装成系统服务进行启动:

为解决反病毒软件问题该勒索软件会将自己伪装成系统服务,SNATCH 伪装成的软件名称为SuperBackupMan。这个名称是系统备份用的工具因此可能会让用户放松警惕,不过该软件只要被安装就无法卸载、暂停或停止运行。同时该软件会强制启动计算机自动进入安全模式,在安全模式里将其他系统工具例如反病毒或清理软件直接卸载。此外为防止用户通过备份恢复数据该勒索软件还会寻找并删除所有能够找到的 Windows 卷影备份或系统还原点。

至于该勒索软件是如何在安全模式下实现自启动的目前尚不清楚,不过这种卸载杀毒软件的策略效果确实比较好。在成功卸载杀毒软件后勒索软件会再次启动计算机退出安全模式,然后在启动后便开始将用户所有文件进行加密。当然该勒索软件也采用高强度算法进行文件加密因此想要暴力破解几乎不可能的,建议企业最好日常备份好文件。

相关文章