A equipe MalwareHunterTeam alertou nesta semana para o novo ransomware AVCrypt. Um detalhe sobre este ransomware é que ele tenta desinstalar o antivírus presente no computador antes de criptografar os arquivos do usuário.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Ransomware AVCrypt
Além de tentar remover o antivírus instalado, o novo ransomware AVCrypt também remove diversos serviços, incluindo o do Windows Update, e não oferece nenhuma informação de contato.
O ransomware foi descoberto originalmente pela equipe MalwareHunterTeam e analisado mais profundamente por Lawrence Abrams, profissional de segurança e criador do site BleepingComputer, e pelo pesquisador Michael Gillespie.
Quando executado, o ransomware tentará remover o antivírus instalado de duas formas: uma delas é procurando especificamente pelo Windows Defender e pelo Malwarebytes. A outra envolve a procura por qualquer outra solução de segurança instalada.
Primeiro o ransomware AVCrypt removerá os serviços necessários para operação correta do Malwarebytes e do Windows Defender usando um comando com o formato abaixo:
cmd.exe /C sc config “MBAMService” start= disabled & sc stop “MBAMService” & sc delete “MBAMService”;
Depois ele verifica qual software antivírus aparece registrado na central de segurança do Windows e tenta removê-lo com um comando no formato abaixo:
cmd.exe /C wmic product where ( Vendor like “%Emsisoft%” ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;
Vale destacar que o comando não funcionou com a solução de segurança da Emisoft.
A lista de serviços que oodem ser removidos pelo ransomware inclui:
– MBAMService
– MBAMSwissArmy
– MBAMChameleon
– MBAMWebProtection
– MBAMFarflt
– ESProtectionDriver
– MBAMProtection
– Schedule
– WPDBusEnum
– TermService
– SDRSVC
– RasMan
– PcaSvc
– MsMpSvc
– SharedAccess
– wscsvc
– srservice
– VSS
– swprv
– WerSvc
– MpsSvc
– WinDefend
– wuauserv
Já o pedido de resgate do ransomware no arquivo +HOW_TO_UNLOCK.txt exibe apenas a mensagem “lol n“.
Quando executado, o ransomware AVCrypt ficará “quieto” por breve período antes de extrair um cliente TOR que se conectará ao servidor de comando e controle bxp44w3qwwrmuupc.onion para onde transmitirá a chave de criptografia, fuso horário e a versão do Windows da vítima.
Em seguida ele tentará remover as soluções de segurança como mencionado acima e procurará pelos arquivos que serão criptografados. Os arquivos criptografados receberão um nome como +[nome_original].
Por exemplo, um arquivo teste.jpg será renomeado para +teste.jpg depois de criptografado.
Ele também removerá várias chaves de registro para reduzir a segurança do computador e por fim executará um arquivo +.bat que fará uma limpeza completa, removendo os arquivos baixados, registros de eventos, encerrando o processo do ransomware e removendo sua entrada autorun.
‘Novo ransomware AVCrypt tenta remover o antivírus instalado no PC
O post Novo ransomware AVCrypt tenta remover o antivírus instalado no PC apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br