• Главная
  • Карта сайта
Не найдено

Шифровальщик AVCrypt уничтожает защиту Windows и пытается удалить антивирус перед атакой на файлы

Опубликовано: 05.09.2018

Обнаружен новый вид программы-вымогателя - AVCrypt. Шифровальщик нарушает работу защитных служб Windows и пытается удалить стороннее антивирусное ПО на компьютере жертвы, перед тем, как приступить к шифрованию файлов

Новый шифровальщик известен как AVCrypt, и был впервые обнаружен командной исследователей MalwareHunterTeam. Подробный анализ угрозы провели специалисты портала Bleeping Computer .

Согласно результатам анализа шифровальщика, AVCrypt пытается не только удалить существующую антивирусную защиту перед шифрованием файловой системы, но также удаляет несколько важных служб Windows:

MBAMService MBAMSwissArmy MBAMChameleon MBAMWebProtection MBAMFarflt ESProtectionDriver MBAMProtection Schedule WPDBusEnum TermService SDRSVC RasMan PcaSvc MsMpSvc SharedAccess wscsvc srservice VSS swprv WerSvc MpsSvc WinDefend wuauserv

Исследователи признают, что такого способа нейтрализации антивирусной защиты они еще не встречали.

Настоящая цель вредоносной программы остается под вопросом, потому что полностью цепочку восстановить не удалось. Зловред демонстрирует некоторые элементы шифрования, и вместе с последующим удалением процесса AVCrypt, его можно рассматривать как программу-чистильщик (wiper).

Кроме того, неясно, как AVCrypt настигает своих жертв. Тем не менее, когда вредоносный код запускается на целевом компьютере, вредоносная программа первым делом пытается удалить антивирус, обращаясь к Защитнику Windows и Malwarebytes и запрашивая информацию о наличии стороннего антивирусного продукта.

Чтобы полностью уничтожить антивирусную защиту, шифровальщик удаляет целый ряд служб Windows, которые отвечают за нормальную работу защитных механизмов, в частности MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend и MBAMWebProtection.

Затем AVCrypt проверяет регистрацию антивируса в Центре безопасности Windows и удаляет ее с помощью командной строки.

Исследователи сообщили, что во время тестирования угроза не смогла удалить антивирус Emsisoft , применяя свои техники. Сработает ли данный метод с другими антивирусами - неизвестно.

Функции очистки не полностью удаляют сборку Windows, но приводят к серьезному нарушению работы служб.

После завершения данный фазы, AVCrypt загружает ключ шифрования на сервер TOR вместе с информацией о системе и часовом поясе. Затем вредоносная программа сканирует хранилище в поисках файлов для последующего шифрования.

Текстовый файл с требованием выкупа носит название “+HOW_TO_UNLOCK.txt” и не содержит конкретные инструкции по восстановлению доступа или контактную информацию злоумышленников. Вместо этого в файле содержится незамысловатая запись “lol n”.

Похоже, что вредоносная программа находится на ранней стадии разработки. Microsoft сообщила, что были обнаружены только два образца этой вредоносной программы, поэтому компания также считает, что AVCrypt еще не завершен.

Исследователи отмечают:

Данная вредоносная программа наносит серьезный урон зараженному ПК и загружает ключ шифрования на удаленный сервер. На данный момент, неизвестно, является ли угроза истинным трояном-шифровальщиком или программой-чистильщиком, замаскированной под шифровальщик.

Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью

rss