REvil勒索軟體衍生新功能，可重新啟動電腦進入安全模式運作

惡意軟體攻擊不斷，REvil勒索軟體（又稱為Sodinokibi）在這兩年帶來了顯著的危害，持續傳出有企業組織遭受攻擊，如上週也傳出疑攻擊了臺灣電腦大廠之一的宏碁。國外資安組織MalwareHunterTeam在推文揭露，他們察覺到勒索軟體REvil裡面有沒看過的樣本，樣本的功能是可以重啟受攻擊的電腦，並經由網路進入安全模式下執行。

據MalwareHunter指出，如果在Windows登錄檔發現*AstraZeneca，或是看到*franceisshit，就表示已成為攻擊的目標電腦。而什麼是*AstraZeneca跟*franceisshit呢？MalewareHunter提到*AstraZeneca的作用是讓電腦重啟進入安全模式，*franceisshit通常是在安全模式下執行Command命令，然後讓電腦在下次重新啟動後回到正常模式運作。

事實上，這個方法代表了勒索軟體REvil樣本，在安全模式下執行，除了可以不讓防毒軟體偵測到外，還能讓資安人員不易察覺，因為通常電腦會在一般模式下開啟，然而受攻擊的電腦如果重啟後，就會被加密檔案進而被勒索。

不過，在安全模式下執行的攻擊事件，其實，在去年也有類似攻擊發生，Snatch是以Windows服務安裝至電腦，讓服務在安全模式下還能夠執行。

根據MalwareHunter在查看Windows登錄檔時，可以看到被呼叫的指令是*AstraZeneca。

接下來，他們繼續查看發現還有不同的指令，發現另一個呼叫的指令是*franceisshit，也會造成威脅。