AVCrypt το ransomware που πριν χτυπήσει διαγράφει τα antivirus

Ένας νέος τύπος ransomware προσπαθεί να απεγκαταστήσει το λογισμικό ασφαλείας που χρησιμοποιείτε πριν επιτεθεί. Το ransomware ονομάστηκε AVCrypt, και ανακαλύφθηκε για πρώτη φορά από τη MalwareHunterTeam. Αργότερα αναλύθηκε από επαγγελματίες ασφαλείας του Bleeping Computer.

Σύμφωνα με μια ανάλυση του κακόβουλου λογισμικού, το AVCrypt προσπαθεί όχι μόνο να αφαιρέσει τα υπάρχοντα προϊόντα προστασίας πριν κρυπτογραφήσει έναν υπολογιστή, αλλά διαγράφει και μερικές από τις υπηρεσίες των .AVCrypt

Οι ερευνητές Lawrence Abrams και Michael Gillespie αναφέρουν ότι το ransomware “προσπαθεί να απεγκαταστήσει το λογισμικό με έναν τρόπο που δεν έχουμε ξαναδεί”, κάτι το οποίο κάνει το κακόβουλο λογισμικό αρκετά ασυνήθιστο.

Ο πραγματικός σκοπός του κακόβουλου λογισμικού – το οποίο φαίνεται να είναι ransomware λόγω των δυνατοτήτων του – είναι επίσης αμφισβητήσιμος, καθώς ορισμένα από τα στοιχεία φαίνεται να μην έχουν αναπτυχθεί πλήρως.

Υπάρχουν ναι μεν στοιχεία που μπορούν να κρυπτογραφήσουν τον δίσκο, αλλά δεν υπάρχει κάποιο σημείωμα που ζητάει λύτρα. Φαίνεται επίσης να υπάρχει και μια διεργασία που επιτρέπει διαγραφή δεδομένων και σύμφωνα με τους ερευνητές είναι πολύ πιθανό το κακόβουλο λογισμικό να μπορεί να χρησιμοποιηθεί και σαν .

  Η 0Patch θα υποστηρίξει για άλλα 2 χρόνια τα Windows 7 και Windows Server 2008 R2

Δεν είναι ακόμη γνωστός ο ακριβής τρόπος που λειτουργεί το AVCrypt, ωστόσο, το πρώτο πράγμα που κάνει στον υπολογιστή του θύματος, είναι να αφαιρέσει το λογισμικό ασφαλείας, στοχεύοντας κατά σειρά τις εφαρμογές , Malwarebytes και όχι μόνο.

Προκειμένου να αφαιρέσει τα προϊόντα ασφαλείας, το ransomware διαγράφει υπηρεσίες των Windows που απαιτούνται για την σωστή τους λειτουργία, όπως τις MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend, και MBAMWebProtection.

Μόλις ολοκληρωθεί αυτό το στάδιο, το AVCrypt ανεβάζει ένα κλειδί κρυπτογράφησης σε μια σελίδα του TOR μαζί με τις πληροφορίες του συστήματος και την ζώνη ώρας. Το κακόβουλο πρόγραμμα αρχίζει να σαρώνει τα αρχεία για κρυπτογράφηση, μετονομάζοντάς τα παράλληλα.

Το σημείωμα λύτρων που αποθηκεύει σαν “+ HOW_TO_UNLOCK.txt”, δεν περιέχει κάποια οδηγία αποκρυπτογράφησης ή πληροφορίες επικοινωνίας. Αντίθετα, υπάρχει ένα απλό “lol n”.

Όπως φαίνεται το ransomware βρίσκεται ακόμη σε στάδιο ανάπτυξης.

Η Microsoft ανέφερε ότι έχει ανιχνεύσει μόνο δύο δείγματα αυτού του malware και πιστεύει ότι το AVCrypt δεν ολοκληρωθεί ακόμη.

  Τα Media υποστηρίζουν τον Julian Assange

 

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  65  =  71