Novi ransomware napada antivirus
AVCrypt pokušava da onesposobi anti malver softver pre nego što ga on detektuje i ukloni.
Nova ransomware varijanta AVCrypt nastoji da deinstalira anti malver zaštitu na računaru žrtve pre nego što zaključa fajlove. AVCrypt najpre pokušava da identifikuje i ukloni veći broj Windows servisa koji su neophodni za uspešan rad dva AV proizvoda – Windows Defender i Malwarebytes.
Možemo reći da je AVCrypt nekompletan ransomware, jer mu nedostaju neki od glavnih delova. Iako ima komunikaciju sa C&C serverom i kriptuje fajlove, on ne sadrži instrukcije o otkupnini i dekripciji. S druge strane, s obzirom da briše određene Windows servise, možemo ga svrstati i u wiper malvere.
Pre ovog slučaja nije zabeleženo da je neki ransomware pokušao da deinstalira AV softver. Konkretna meta u ovom slučaju su Malwarebytes i Windows Defender. Defender je Microsoftov default AV paket koji se aktivira ukoliko korisnik ne koristi neku drugu zaštitu.
AVCrypt ima sposobnost da onemogući korisnika da isključi računar (ukoliko bi korisnik pokušao da se na taj način zaštiti). Iako je reč o novoj varijanti ransomwarea, postoje značajne sličnosti u kodu sa drugim, poznatim malverima. Za sada je reč o manjem broju zabeleženih napada i čini se da je ransomware još u fazi razvoja. Ova pretnja je još poznata i kao Ransom:Win32/Pactelung.A. Mehanizam isporuke je sličan kao i kod ostalih ransomwarea – maliciozni spam, drive-by URL-ovi, piratski softveri itd.
Po svemu viđenom, ovaj ransomware ima značajne propuste i za sada ne predstavlja veliku pretnju. Organizacije sa dobrim mehanizmima zaštite ne bi trebalo da imaju problema sa ovom ransomware varijantom, ali svakako treba pratiti razvoj situacije.
Izvor: Dark Reading