Ένας νέος τύπος ransomware προσπαθεί να απεγκαταστήσει το λογισμικό ασφαλείας που χρησιμοποιείτε πριν επιτεθεί. Το ransomware ονομάστηκε AVCrypt, και ανακαλύφθηκε για πρώτη φορά από τη MalwareHunterTeam. Αργότερα αναλύθηκε από επαγγελματίες ασφαλείας του Bleeping Computer.
Σύμφωνα με μια ανάλυση του κακόβουλου λογισμικού, το AVCrypt προσπαθεί όχι μόνο να αφαιρέσει τα υπάρχοντα προϊόντα προστασίας πριν κρυπτογραφήσει έναν υπολογιστή, αλλά διαγράφει και μερικές από τις υπηρεσίες των Windows.
Οι ερευνητές Lawrence Abrams και Michael Gillespie αναφέρουν ότι το ransomware “προσπαθεί να απεγκαταστήσει το λογισμικό με έναν τρόπο που δεν έχουμε ξαναδεί”, κάτι το οποίο κάνει το κακόβουλο λογισμικό αρκετά ασυνήθιστο.
Ο πραγματικός σκοπός του κακόβουλου λογισμικού – το οποίο φαίνεται να είναι ransomware λόγω των δυνατοτήτων του – είναι επίσης αμφισβητήσιμος, καθώς ορισμένα από τα στοιχεία φαίνεται να μην έχουν αναπτυχθεί πλήρως.
Υπάρχουν ναι μεν στοιχεία που μπορούν να κρυπτογραφήσουν τον δίσκο, αλλά δεν υπάρχει κάποιο σημείωμα που ζητάει λύτρα. Φαίνεται επίσης να υπάρχει και μια διεργασία που επιτρέπει διαγραφή δεδομένων και σύμφωνα με τους ερευνητές είναι πολύ πιθανό το κακόβουλο λογισμικό να μπορεί να χρησιμοποιηθεί και σαν wiper.
Δεν είναι ακόμη γνωστός ο ακριβής τρόπος που λειτουργεί το AVCrypt, ωστόσο, το πρώτο πράγμα που κάνει στον υπολογιστή του θύματος, είναι να αφαιρέσει το λογισμικό ασφαλείας, στοχεύοντας κατά σειρά τις εφαρμογές Windows Defender, Malwarebytes και όχι μόνο.
Προκειμένου να αφαιρέσει τα προϊόντα ασφαλείας, το ransomware διαγράφει υπηρεσίες των Windows που απαιτούνται για την σωστή τους λειτουργία, όπως τις MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend, και MBAMWebProtection.
Μόλις ολοκληρωθεί αυτό το στάδιο, το AVCrypt ανεβάζει ένα κλειδί κρυπτογράφησης σε μια σελίδα του TOR μαζί με τις πληροφορίες του συστήματος και την ζώνη ώρας. Το κακόβουλο πρόγραμμα αρχίζει να σαρώνει τα αρχεία για κρυπτογράφηση, μετονομάζοντάς τα παράλληλα.
Το σημείωμα λύτρων που αποθηκεύει σαν “+ HOW_TO_UNLOCK.txt”, δεν περιέχει κάποια οδηγία αποκρυπτογράφησης ή πληροφορίες επικοινωνίας. Αντίθετα, υπάρχει ένα απλό “lol n”.
Όπως φαίνεται το ransomware βρίσκεται ακόμη σε στάδιο ανάπτυξης.
Η Microsoft ανέφερε ότι έχει ανιχνεύσει μόνο δύο δείγματα αυτού του malware και πιστεύει ότι το AVCrypt δεν ολοκληρωθεί ακόμη.
- TLS 1.3 επίσημη έγκριση του νέου πρωτοκόλλου ασφαλείας από τον IETF
- Acronis Ransomware Protection δωρεάν και με απόλυτη ασφάλεια