Un nuevo tipo de ransomware que trata de desinstalar el software de
seguridad en las PC víctimas ha sido descubierto en la naturaleza.
El ransomware, apodado AVCrypt, fue descubierto por primera vez por
MalwareHunterTeam y luego analizado por profesionales de seguridad en
Bleeping Computer.
Según un análisis del malware, AVCrypt intentará no solo eliminar productos antivirus existentes antes de cifrar una computadora comprometida, sino que también eliminará una selección de servicios de Windows.
Los investigadores Lawrence Abrams y Michael Gillespie dicen que el ransomware "intenta desinstalar el software de una forma que no hemos visto antes", lo que hace que el malware sea inusual.
El verdadero propósito del malware, que parece ser ransomware debido a sus capacidades, también está en cuestión, ya que algunos elementos parecen inacabados. Hay elementos de encriptación, pero no hay una verdadera nota de rescate, y junto con la eliminación del proceso de AVCrypt, es posible que el malware también se pueda utilizar como un limpiador.
Todavía no se sabe cómo AVCrypt se dirige a las víctimas. Sin embargo, cuando el código malicioso se ejecuta en la PC de la víctima, el malware primero intentará eliminar el software de seguridad apuntando a Windows Defender y Malwarebytes, o consultando específicamente otro software antivirus antes de intentar desinstalar los programas.
Con el fin de erradicar los productos AV, el ransomware elimina los servicios de Windows que se requieren para que los servicios de protección se ejecuten correctamente, incluidos MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend y MBAMWebProtection.
El malware luego verifica si algún software antivirus está registrado en el Centro de seguridad de Windows y elimina estos detalles a través de la línea de comandos.
Durante las pruebas, sin embargo, los investigadores dicen que el malware no pudo eliminar el software antivirus Emisoft a través de estas técnicas.
No se sabe si la eliminación de servicios de Windows para obstaculizar las protecciones AV funcionaría con otras soluciones.
Las características del limpiador no destruyen por completo las compilaciones de Windows, pero probablemente causarán degradación del servicio.
Una vez que se completa esta etapa, AVCrypt luego carga una clave de cifrado en una ubicación TOR junto con la información del sistema y la zona horaria. El malware luego busca archivos para encriptarlos, renombrándolos en el proceso.
La nota de rescate, guardada como "+ HOW_TO_UNLOCK.txt", no contiene instrucciones de descifrado o información de contacto; en cambio, hay lo que parece ser un marcador de posición "lol n".
Parece que el ransomware está en etapas de desarrollo, y si bien existe un vínculo tenue entre AVCrypt y un ataque reciente a una universidad japonesa, no se sabe si el malware fue el responsable.
Microsoft le dijo a la publicación que solo se han detectado dos muestras de este malware y, por lo tanto, la compañía también cree que AVCrypt aún no está completo.
"Este ransomware es bastante destructivo para una computadora infectada, pero al mismo tiempo parece que carga la clave de cifrado a un servidor remoto", dicen los investigadores. "Por lo tanto, no se sabe si se trata de un verdadero ransomware o un limpiador disfrazado como uno".
Según un análisis del malware, AVCrypt intentará no solo eliminar productos antivirus existentes antes de cifrar una computadora comprometida, sino que también eliminará una selección de servicios de Windows.
Los investigadores Lawrence Abrams y Michael Gillespie dicen que el ransomware "intenta desinstalar el software de una forma que no hemos visto antes", lo que hace que el malware sea inusual.
El verdadero propósito del malware, que parece ser ransomware debido a sus capacidades, también está en cuestión, ya que algunos elementos parecen inacabados. Hay elementos de encriptación, pero no hay una verdadera nota de rescate, y junto con la eliminación del proceso de AVCrypt, es posible que el malware también se pueda utilizar como un limpiador.
Todavía no se sabe cómo AVCrypt se dirige a las víctimas. Sin embargo, cuando el código malicioso se ejecuta en la PC de la víctima, el malware primero intentará eliminar el software de seguridad apuntando a Windows Defender y Malwarebytes, o consultando específicamente otro software antivirus antes de intentar desinstalar los programas.
Con el fin de erradicar los productos AV, el ransomware elimina los servicios de Windows que se requieren para que los servicios de protección se ejecuten correctamente, incluidos MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend y MBAMWebProtection.
El malware luego verifica si algún software antivirus está registrado en el Centro de seguridad de Windows y elimina estos detalles a través de la línea de comandos.
Durante las pruebas, sin embargo, los investigadores dicen que el malware no pudo eliminar el software antivirus Emisoft a través de estas técnicas.
No se sabe si la eliminación de servicios de Windows para obstaculizar las protecciones AV funcionaría con otras soluciones.
Las características del limpiador no destruyen por completo las compilaciones de Windows, pero probablemente causarán degradación del servicio.
Una vez que se completa esta etapa, AVCrypt luego carga una clave de cifrado en una ubicación TOR junto con la información del sistema y la zona horaria. El malware luego busca archivos para encriptarlos, renombrándolos en el proceso.
La nota de rescate, guardada como "+ HOW_TO_UNLOCK.txt", no contiene instrucciones de descifrado o información de contacto; en cambio, hay lo que parece ser un marcador de posición "lol n".
Parece que el ransomware está en etapas de desarrollo, y si bien existe un vínculo tenue entre AVCrypt y un ataque reciente a una universidad japonesa, no se sabe si el malware fue el responsable.
Microsoft le dijo a la publicación que solo se han detectado dos muestras de este malware y, por lo tanto, la compañía también cree que AVCrypt aún no está completo.
"Este ransomware es bastante destructivo para una computadora infectada, pero al mismo tiempo parece que carga la clave de cifrado a un servidor remoto", dicen los investigadores. "Por lo tanto, no se sabe si se trata de un verdadero ransomware o un limpiador disfrazado como uno".
Fuente: http://www.zdnet.com/
0 Comentarios