Bezpieczeństwo IT jest jednym z najbardziej niepokojących problemów w ostatnim czasie pod względem technologicznym, a to dlatego, że ataki złośliwego oprogramowania i oprogramowania ransomware są niestety bardziej na porządku dziennym, niż byśmy chcieli. Dlatego bycie poinformowanym o tego typu atakach, zapobieganiu im lub sposobach postępowania w przypadku zarażenia może być bardzo pomocne w przypadku, gdy jesteśmy uwikłani w tak nieprzyjemną sytuację.
Kilka godzin temu w Solvetic pisaliśmy o jednym z aktualnych szkodliwych programów: DiskWriter, który atakuje system Windows, pozostawiając komputer całkowicie niesprawny i prosząc o okup w wysokości 300 dolarów w bitcoinach, aby go ponownie włączyć
Tego typu ataki nie przestają się pojawiać, ale jak już powiedzieliśmy, bycie poinformowanym i wiedza o tym, jak postępować, może być dobrą techniką ich wykrywania i zapobiegania. W tym przypadku porozmawiamy o wykryciu nowego ataku ransomware, który odinstalowuje program antywirusowy z komputera, a następnie szyfruje informacje na komputerze.
Poznaj AVCrypt, nowy atak, który odinstalowuje Twój program antywirusowy
Kilka dni temu MalwareHunterTeam podnieśli alarm na swoim oficjalnym koncie na Twitterze następującym tweetem:
Później z Bleeping Computer zajęli się analizą. AVCryt to ciekawy atak ransomware, ponieważ próbuje lub odinstalowuje oprogramowanie zabezpieczające komputer przed zaszyfrowaniem całej jego zawartości. Ponadto odpowiada za eliminację usług, w tym aktualizacji systemu Windows, działając na komputerze jako cleaner.
Jasne jest, że AVCrypt nie jest powszechnym atakiem ransomware, a poniżej przytoczymy niektóre z jego cech, które wspierają te informacje:
- Nie możemy określić, czy jest to całkowity atak ransomware, czy złośliwe oprogramowanie, ponieważ pokazuje elementy szyfrowania, ale nie żąda okupu.
- Usuwa wszystkie programy antywirusowe z komputerów, które infekuje, w tym Windows Defender i Malware Bytes.
- Następnie analizuje, czy w Centrum zabezpieczeń systemu Windows jest zainstalowany program antywirusowy, aby móc wyeliminować szczegóły za pomocą konsoli poleceń
- Na koniec przejdź do przesyłania szczegółów szyfrowania w Tor do zaszyfrowanej lokalizacji
- Notatka dotycząca okupu jest zapisana pod nazwą „+ HOW_TO_UNLOCK.txt” i nie zawiera instrukcji dotyczących okupu, więc wnioskujemy, że atak ten jest wciąż w fazie rozwoju.
Co Microsoft o tym mówi?
Microsoft twierdzi, że odnaleziono tylko dwie próbki tego szkodliwego oprogramowania, co potwierdza teorię, że nadal będzie niekompletny i znajduje się w fazie rozwoju. Ze względu na powyższe cechy i sposób, w jaki działają, eksperci cybernetyczni nie odważą się stwierdzić, czy AVCrypt jest oprogramowaniem ransomware, czy środkiem czyszczącym.
