+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Inne (https://safegroup.pl/forum-15.html)
+--- Wątek: Nowy szkodnik AVCrypt Ransomware próbuje odinstalować AV (/thread-11397.html)
Nowy szkodnik AVCrypt Ransomware próbuje odinstalować AV - ichito - 26.03.2018
Badacze (zespół z MalwareHunterTeam, M. Gillespie i L. Abrams z Bleepingcomputer) odkryli nowy rodzaj ransomware, który został nazwany AVCrypt. To nietypowy szkodnik, a zachowanie które prezentuje nie było dotąd notowane - po prostu próbuje odinstalować programy AV czyli unieszkodliwić mechanizmy mogące go wykryć i zneutralizować. Bleepingcomputer w swoim artykule podaje, że szkodnik stara się unieruchomić i usunąć zainstalowany w systemie AV dwojako
- wykrywa i usuwa usługi związane z Windows Defender i Malwarebytes
- następnie przeszukuje system w poszukiwaniu innych AV w centrum bezpieczeństwa (Windows Security Center) i próbuje je odinstalować za pomocą WMIC (Windows Management Instrumentation Command)
Szkodnik próbuje również wyłączyć wiele innych usług, a dotąd znane to te poniżej, co oczywiście powoduje nieprawidłowości w działaniu systemu.
Kod:
MBAMService
MBAMSwissArmy
MBAMChameleon
MBAMWebProtection
MBAMFarflt
ESProtectionDriver
MBAMProtection
Schedule
WPDBusEnum
TermService
SDRSVC
RasMan
PcaSvc
MsMpSvc
SharedAccess
wscsvc
srservice
VSS
swprv
WerSvc
MpsSvc
WinDefend
wuauservRównocześnie poprzez TOR szkodnik pobiera klucz szyfrujący i rozpoczyna modyfikację plików, zmieniając też nazwę poprzez dodanie przed nią symbolu "+".
Microsoft wykrywa szkodnika pod nazwą Win32/Pactelung.A.
Więcej w źródłach poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Nowy szkodnik AVCrypt Ransomware próbuje odinstalować AV - adrian.sc - 26.03.2018
Ktoś udostępni próbkę tego szkodnika?
RE: Nowy szkodnik AVCrypt Ransomware próbuje odinstalować AV - tachion - 27.03.2018
[Aby zobaczyć linki, zarejestruj się tutaj]