A differenza del malware tradizionale, il nuovo ransomware Snatch sceglie di essere eseguito in modalità provvisoria perché in modalità diagnostica il sistema operativo Windows si avvia con un set minimo di driver e servizi senza caricare la maggior parte dei programmi di avvio di terze parti, incluso il software antivirus.
Snatch è attivo almeno dall’estate del 2018, ma i ricercatori di SophosLabs hanno notato il miglioramento della modalità provvisoria per questa varietà di ransomware solo nei recenti attacchi informatici contro varie entità che hanno indagato.
“I ricercatori di SophosLabs hanno studiato una serie in corso di attacchi ransomware in cui l’eseguibile ransomware costringe il computer Windows a riavviare in modalità provvisoria prima di iniziare il processo di crittografia”, affermano i ricercatori .
“Snatch può essere eseguito sulle versioni più comuni di Windows, dalla 7 alla 10, nelle versioni a 32 e 64 bit. Gli esempi che abbiamo visto sono anche imballati con il packer open source UPX per offuscarne il contenuto”, affermano i ricercatori.
