Ransomware „Snatch” potrafi wyłączyć ochronę na komputerze i skutecznie zaszyfrować pliki

Specjaliści cyberbezpieczeństwa z firmy SophosLabs wykryli oraz opisali nowy wariant znanego już ransomware o nazwie Snatch. Nowa technika polega na wymuszeniu ponownego uruchomienia zainfekowanego komputera z systemem Windows w trybie awaryjnym (Safe Mode), i dopiero wtedy zaszyfrowanie plików ofiary.
Taki zabieg pozwala na uniknięcie wykrycia przez większość tradycyjnego oprogramowania antywirusowego, ponieważ w trybie awaryjnym system operacyjny uruchamia się z minimalnym zestawem sterowników i programów firm trzecich. Istnieje więc duża szansa, że w Safe Mode procesy odpowiedzialne za ochronę systemu pod kątem malware nie wystartują.
Ransomware Snatch infekuje systemy co najmniej od lipca 2018 roku, ale sprytna metoda restartu systemu i uruchamiania go w trybie awaryjnym widoczna jest od niedawna, w kilku ostatnich atakach.

Snatch rejestruje się w systemie jako usługa o nazwie SuperBackupMan, która w rejestrze posiada zapamiętaną opcje uruchamiania podczas rozruchu systemu w trybie awaryjnym. Gdy komputer wraca do pracy po ponownym uruchomieniu, złośliwe oprogramowanie używa komponentu vssadmin.exe do usunięcia wszystkich kopii woluminów wykonywanych w tle (Volume Shadow Copies), w celu uniknięcia możliwości odzyskiwania zaszyfrowanych plików i analizy sądowej po udanym ataku.
Ransomware napisany jest w mało popularnym języku Go i zaprojektowany do działania na wszystkich wersjach systemu Windows od 7, zarówno 32 jak i 64 bitowych.

Z danych firmy Coveware, specjalizującej się w negocjacjach dotyczących wymuszeń płatności za odszyfrowanie danych wiemy, że udanych ataków Snatch w okresie od lipca do października tego roku było przynajmniej 12, a okup wahał się między 2000, a 35 000 dolarów.

Zaplanowane kampanie z wykorzystaniem ransomware Snatch wykorzystują wiele popularnych narzędzi penetracyjnych, takich jak PsExec, Advanced Port Scanner, Process Hacker, PowerTool czy IObit, głównie w celu rozprzestrzenienia się w sieci organizacji oraz kompromitacji nowych maszyn. Malware ten nie działa w pełni automatycznie i zawsze kontrolowany jest zdalnie przez atakującego.

Popularne

7-Zip podatny na NTFS Heap Overflow

Jaroslav Lobačevski z GitHub Security Lab opublikował analizę nowej podatności odnalezionej w 7-Zip, oznaczonej jako GHSL-2026-140. Luka dotyczy parsera NTFS i prowadzi do uszkodzenia pamięci procesu, co w...

6 min czytania 28 maj 2026 07:52

Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI

Popularność sztucznej inteligencji rośnie w niespotykanym tempie. Narzędzia takie jak ChatGPT czy Claude stały się codziennym wsparciem dla programistów, analityków, studentów i firm. Miliony użytkown...

7 min czytania 29 maj 2026 07:01

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...

8 min czytania 18 maj 2026 07:58

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00

Account Discovery w Entra ID, czyli nie da się zarządzać dostępem, którego nie widać

W zarządzaniu tożsamością i dostępem często koncentrujemy się na procesach: wnioskowaniu o uprawnienia, zatwierdzaniu, tworzeniu kont i nadawaniu im uprawnień, okresowych przeglądach oraz odbieraniu dostępu...

6 min czytania 1 cze 2026 08:00