AVCrypt è il nome (dopo un av2018.exe esempio denominato) di un nuovo ransomware che visualizza un comportamento piuttosto unica. Il ransomware tenta di disinstallare qualsiasi programmi di sicurezza anti-virus e sono presenti sul sistema mirato.
Sommario minaccia
Nome | AVCrypt |
Tipo | Ransomware, Wiper |
breve descrizione | Il ransomware ha lo scopo di eliminare i prodotti AV sul sistema mirato, a fianco di alcuni altri servizi di sistema. |
Sintomi | Dopo la prima fase di attacco è terminato, AVCrypt caricherà una chiave di crittografia, alcuni dettagli del sistema e il fuso orario in un percorso Tor. |
Metodo di distribuzione | attualmente sconosciuto. |
Detection Tool |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Strumento di recupero dati | Windows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità. |
Non solo AVCrypt tenta questo, ma rimuove anche Windows Update e alcuni servizi fondamentali per il sistema operativo Windows. Ciò che è per lo più intrigante è che il ransomware non fornisce alcuna informazioni di contatto che ha portato i ricercatori a credere, può essere in realtà un tergicristallo del malware.
L'analisi dei AVCrypt per la prima volta notato da ricercatore Michael Gillespie dimostra che il presunto ransomware va per la rimozione di programmi antivirus esistenti sul sistema così come diversi servizi essenziali di Windows. Queste attività sono svolte in un modo che non è stato registrato in precedenza, almeno alla conoscenza dei ricercatori.
AVCrypt - ransomware, Wiper, o qualcos'altro?
Quale lo scopo esatto di questo malware realmente rimane è sconosciuta. Tuttavia, a causa di alcune delle sue capacità ricercatori assunti è davvero ransomware. Ci sono infatti segni di funzionalità di crittografia, ma sono in qualche modo non sviluppata. Per di più, nessuna richiesta di riscatto è presente. Il malware può essere fingendo di essere ransomware, ma in realtà può essere un pezzo di tergicristallo o qualcosa di peggio.
Attualmente, il metodi di distribuzione utilizzati da AVCrypt rimangono poco chiari.
Per rimuovere i programmi antivirus, esso deve prima rimuovere i servizi di Windows necessari per i servizi di protezione per l'esecuzione, come ad esempio Schedule, WinDefend, e molti altri. Poi, controlla se i prodotti antivirus sono registrati tramite Windows Security Center. Infine, eliminerà tali dati con l'aiuto della linea di comando.
Per quanto riguarda le funzionalità tergicristallo, essi non del tutto demoliscono Windows, ma sono più probabilità di causare degrado dei servizi.
Dopo la prima fase di attacco è terminato, il malware si caricare una chiave di crittografia, alcuni dettagli del sistema e il fuso orario in un percorso Tor. Infine, lo farà eseguire la scansione per i file da crittografare e li rinomina di conseguenza. Come accennato in precedenza, istruzioni su decrittazione o qualsiasi altra informazione è presente nel richiesta di riscatto che viene salvato come “+HOW_TO_UNLOCK.txt".
Per riassumere - dopo aver analizzato il comportamento di AVCrypt finora, i ricercatori ritengono che non è ancora completa, ed è in una fase di sviluppo. Secondo Microsoft, Sono stati rilevati due campioni della minaccia.