AVCrypt το ransomware που πριν χτυπήσει διαγράφει τα antivirus

Ένας νέος τύπος ransomware προσπαθεί να απεγκαταστήσει το λογισμικό ασφαλείας που χρησιμοποιείτε πριν επιτεθεί. Το ransomware ονομάστηκε AVCrypt, και ανακαλύφθηκε για πρώτη φορά από τη MalwareHunterTeam. Αργότερα αναλύθηκε από επαγγελματίες ασφαλείας του Bleeping Computer.

Σύμφωνα με μια ανάλυση του υ λογισμικού, το AVCrypt προσπαθεί όχι μόνο να αφαιρέσει τα υπάρχοντα προϊόντα προστασίας πριν κρυπτογραφήσει έναν υπολογιστή, αλλά διαγράφει και μερικές από τις υπηρεσίες των Windows.AVCrypt

Οι ερευνητές Lawrence Abrams και Michael Gillespie αναφέρουν ότι το ransomware “προσπαθεί να απεγκαταστήσει το λογισμικό με έναν τρόπο που δεν έχουμε ξαναδεί”, κάτι το οποίο κάνει το κακόβουλο λογισμικό αρκετά ασυνήθιστο.

Ο πραγματικός σκοπός του κακόβουλου λογισμικού – το οποίο φαίνεται να είναι ransomware λόγω των δυνατοτήτων του – είναι επίσης αμφισβητήσιμος, καθώς ορισμένα από τα στοιχεία φαίνεται να μην έχουν αναπτυχθεί πλήρως.

Υπάρχουν ναι μεν στοιχεία που μπορούν να κρυπτογραφήσουν τον δίσκο, αλλά δεν υπάρχει κάποιο σημείωμα που ζητάει λύτρα. Φαίνεται επίσης να υπάρχει και μια διεργασία που επιτρέπει και σύμφωνα με τους ερευνητές είναι πολύ πιθανό το κακόβουλο λογισμικό να μπορεί να χρησιμοποιηθεί και σαν wiper.

Δεν είναι ακόμη γνωστός ο ακριβής τρόπος που λειτουργεί το AVCrypt, ωστόσο, το πρώτο πράγμα που κάνει στον υπολογιστή του θύματος, είναι να αφαιρέσει το λογισμικό ασφαλείας, στοχεύοντας κατά σειρά τις εφαρμογές Windows Defender, Malwarebytes και όχι μόνο.

Προκειμένου να αφαιρέσει τα προϊόντα ασφαλείας, το ransomware διαγράφει υπηρεσίες των Windows που απαιτούνται για την σωστή τους λειτουργία, όπως τις MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend, και MBAMWebProtection.

Μόλις ολοκληρωθεί αυτό το στάδιο, το AVCrypt ανεβάζει ένα κρυπτογράφησης σε μια σελίδα του TOR μαζί με τις του συστήματος και την ζώνη ώρας. Το κακόβουλο πρόγραμμα αρχίζει να σαρώνει τα αρχεία για κρυπτογράφηση, μετονομάζοντάς τα παράλληλα.

Το σημείωμα λύτρων που αποθηκεύει σαν “+ HOW_TO_UNLOCK.txt”, δεν περιέχει κάποια οδηγία αποκρυπτογράφησης ή πληροφορίες επικοινωνίας. Αντίθετα, υπάρχει ένα απλό “lol n”.

Όπως φαίνεται το ransomware βρίσκεται ακόμη σε στάδιο ανάπτυξης.

Η Microsoft ανέφερε ότι έχει ανιχνεύσει μόνο δύο δείγματα αυτού του και πιστεύει ότι το AVCrypt δεν ολοκληρωθεί ακόμη.

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).