Nowy szkodnik AVCrypt Ransomware próbuje odinstalować AV
#1
Badacze (zespół z MalwareHunterTeam, M. Gillespie i L. Abrams z Bleepingcomputer) odkryli nowy rodzaj ransomware, który został nazwany AVCrypt. To nietypowy szkodnik, a zachowanie które prezentuje nie było dotąd notowane - po prostu próbuje odinstalować programy AV czyli unieszkodliwić mechanizmy mogące go wykryć i zneutralizować. Bleepingcomputer w swoim artykule podaje, że szkodnik stara się unieruchomić i usunąć zainstalowany w systemie AV dwojako
- wykrywa i usuwa usługi związane z Windows Defender i Malwarebytes
- następnie przeszukuje system w poszukiwaniu innych AV w centrum bezpieczeństwa (Windows Security Center) i próbuje je odinstalować za pomocą WMIC (Windows Management Instrumentation Command)
Szkodnik próbuje również wyłączyć wiele innych usług, a dotąd znane to te poniżej, co oczywiście powoduje nieprawidłowości w działaniu systemu.

Kod:
MBAMService
MBAMSwissArmy
MBAMChameleon
MBAMWebProtection
MBAMFarflt
ESProtectionDriver
MBAMProtection
Schedule
WPDBusEnum
TermService
SDRSVC
RasMan
PcaSvc
MsMpSvc
SharedAccess
wscsvc
srservice
VSS
swprv
WerSvc
MpsSvc
WinDefend
wuauserv

Równocześnie poprzez TOR szkodnik pobiera klucz szyfrujący i rozpoczyna modyfikację plików, zmieniając też nazwę poprzez dodanie przed nią symbolu "+".
Microsoft wykrywa szkodnika pod nazwą Win32/Pactelung.A.

Więcej w źródłach poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Ktoś udostępni próbkę tego szkodnika?
Odpowiedz
#3

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości