Securitatea IT este una dintre cele mai îngrijorătoare probleme din ultimii ani din punct de vedere tehnologic, și anume că atacurile malware și ransomware sunt, din păcate, mai la ordinea zilei decât ne-am dori. De aceea, a fi informat despre acest tip de atac, prevenirea acestuia sau cum să acționăm în caz de infectare poate fi de mare ajutor în cazul în care suntem implicați într-o situație atât de neplăcută.
Acum câteva ore, în Solvetic, am raportat unul dintre malware-urile momentului: DiskWriter, care afectează Windows, lăsând computerul complet inoperant și cerând o răscumpărare de 300 de dolari în bitcoin pentru a-l reactiva.
Aceste tipuri de atacuri nu încetează să apară, dar, așa cum am spus deja, a fi informat și a ști cum să procedați poate fi o tehnică bună pentru detectarea și prevenirea lor. În acest caz, vom vorbi despre un nou atac ransomware descoperit, care dezinstalează antivirusul de pe computer și apoi criptează informațiile de pe computer.
Faceți cunoștință cu AVCrypt, noul atac care vă dezinstalează antivirusul
Cu câteva zile în urmă, de la MalwareHunterTeam, au dat semnalul de alarmă pe contul lor oficial de Twitter, cu următorul Tweet:
Mai târziu de la Bleeping Computer au fost însărcinați cu analiza acestuia. AVCryt este un atac curios de ransomware, deoarece încearcă sau dezinstalează software-ul de securitate al computerului înainte de a cripta tot conținutul acestuia. În plus, este responsabil pentru eliminarea serviciilor, inclusiv actualizarea Windows, acționând pe computer ca agent de curățare.
Ceea ce este clar este că AVCrypt nu este un atac ransomware obișnuit și, mai jos, vom cita câteva dintre caracteristicile sale care susțin aceste informații:
- Nu putem specifica dacă este un atac total de răscumpărare sau malware, deoarece prezintă elemente de criptare, dar nu solicită nici o răscumpărare.
- Elimină toate antivirusurile de pe computerele pe care le infectează, inclusiv Windows Defender și Malware Bytes.
- După aceasta, analizează dacă există un antivirus instalat în Windows Security Center pentru a putea elimina detaliile folosind consola de comandă
- În cele din urmă, continuați să încărcați detaliile de criptare în Tor într-o locație criptată
- Nota de răscumpărare este salvată sub numele „+ HOW_TO_UNLOCK.txt” și nu conține instrucțiuni pentru răscumpărare, deci deducem că acest atac este încă în curs de dezvoltare.
Ce spune Microsoft despre asta?
Microsoft afirmă că au fost găsite doar două eșantioane ale acestui malware, ceea ce ar susține teoria conform căreia acesta ar fi încă incomplet și în faza sa de dezvoltare. Datorită caracteristicilor de mai sus și a modului în care acționează, experții cibernetici nu îndrăznesc să afirme dacă AVCrypt este un ransomware sau un produs mai curat.
