Шифровальщик AVCrypt уничтожает защиту Windows и пытается удалить антивирус перед атакой на файлы
Опубликовано: 05.09.2018
Обнаружен новый вид программы-вымогателя - AVCrypt. Шифровальщик нарушает работу защитных служб Windows и пытается удалить стороннее антивирусное ПО на компьютере жертвы, перед тем, как приступить к шифрованию файлов
Новый шифровальщик известен как AVCrypt, и был впервые обнаружен командной исследователей MalwareHunterTeam. Подробный анализ угрозы провели специалисты портала Bleeping Computer .
Согласно результатам анализа шифровальщика, AVCrypt пытается не только удалить существующую антивирусную защиту перед шифрованием файловой системы, но также удаляет несколько важных служб Windows:
MBAMService MBAMSwissArmy MBAMChameleon MBAMWebProtection MBAMFarflt ESProtectionDriver MBAMProtection Schedule WPDBusEnum TermService SDRSVC RasMan PcaSvc MsMpSvc SharedAccess wscsvc srservice VSS swprv WerSvc MpsSvc WinDefend wuauservИсследователи признают, что такого способа нейтрализации антивирусной защиты они еще не встречали.
Настоящая цель вредоносной программы остается под вопросом, потому что полностью цепочку восстановить не удалось. Зловред демонстрирует некоторые элементы шифрования, и вместе с последующим удалением процесса AVCrypt, его можно рассматривать как программу-чистильщик (wiper).
Кроме того, неясно, как AVCrypt настигает своих жертв. Тем не менее, когда вредоносный код запускается на целевом компьютере, вредоносная программа первым делом пытается удалить антивирус, обращаясь к Защитнику Windows и Malwarebytes и запрашивая информацию о наличии стороннего антивирусного продукта.
Чтобы полностью уничтожить антивирусную защиту, шифровальщик удаляет целый ряд служб Windows, которые отвечают за нормальную работу защитных механизмов, в частности MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend и MBAMWebProtection.
Затем AVCrypt проверяет регистрацию антивируса в Центре безопасности Windows и удаляет ее с помощью командной строки.
Исследователи сообщили, что во время тестирования угроза не смогла удалить антивирус Emsisoft , применяя свои техники. Сработает ли данный метод с другими антивирусами - неизвестно.
Функции очистки не полностью удаляют сборку Windows, но приводят к серьезному нарушению работы служб.
После завершения данный фазы, AVCrypt загружает ключ шифрования на сервер TOR вместе с информацией о системе и часовом поясе. Затем вредоносная программа сканирует хранилище в поисках файлов для последующего шифрования.
Текстовый файл с требованием выкупа носит название “+HOW_TO_UNLOCK.txt” и не содержит конкретные инструкции по восстановлению доступа или контактную информацию злоумышленников. Вместо этого в файле содержится незамысловатая запись “lol n”.
Похоже, что вредоносная программа находится на ранней стадии разработки. Microsoft сообщила, что были обнаружены только два образца этой вредоносной программы, поэтому компания также считает, что AVCrypt еще не завершен.
Исследователи отмечают:
Данная вредоносная программа наносит серьезный урон зараженному ПК и загружает ключ шифрования на удаленный сервер. На данный момент, неизвестно, является ли угроза истинным трояном-шифровальщиком или программой-чистильщиком, замаскированной под шифровальщик.
