Este ransomware intenta desinstalar tu antivirus antes de secuestrar el sistema

El ransomware es un tipo de amenaza que no ha dejado de crecer en los últimos años. Como sabemos, busca “secuestrar” los ordenadores para después pedir un rescate monetario y volver a dejar libres los archivos que ha cifrado. En los últimos tiempos han evolucionado con nuevas técnicas de ataque. Sin ir más lejos, ahora conocemos AVCrypt, el ransomware que intenta desinstalar tu antivirus antes de secuestrar el sistema para pedir rescate.

Este nuevo malware que intentar desinstalar el antivirus o solución de seguridad instalada en el PC ha sido descubierto hace pocos días. Según los análisis realizados sobre el mismo, AVCrypt intentará eliminar el antivirus antes de proceder a cifrar archivos en el sistema. No obstante, no se queda ahí y también intentará eliminar una importante selección de servicios de Windows.

AVCrypt, una amenaza nunca vista que intenta desinstalar tu antivirus

Según los investigadores que lo han analizado estamos ante un ransomware fuera de lo común, algo que ellos no habían visto antes. El propósito de esta amenaza de seguridad no está definido, por muy raro que parezca. Por algunas funciones podemos decir que estamos ante un ransomware, pero por otras no podemos hacer más que calificarlo como malware en general.

Esto es debido a que tiene elementos para el cifrado de archivos, pero no muestra después una nota exigiendo un rescate. Normalmente, los ransomware nos muestran una nota con una dirección en la Dark Web a la que tenemos que acceder mediante el navegador Tor Browser y un rescate que tenemos que realizar con criptomoneda, normalmente con Bitcoin.

Por el momento, los investigadores siguen estudiando la forma de actuar de este excepcional malware. Cuando el malware consigue infectar el ordenador de la víctima, lo primero que hace es intentar borrar todas las soluciones de seguridad instaladas incluyendo Windows Defender y Malwarebytes.

Para conseguir borrar este software, elimina servicios de Windows necesarios para las aplicaciones de seguridad como MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend o MBAMWebProtection. Una vez los ha eliminado, comprueba si existe algún antivirus registrado en Windows Security Center para deshacerse de los detalles mediante la consola de comandos.

Cuando ha terminado con esta primera fase, sube los detalles de cifrado a una localización cifrada en la red anónima Tor con datos del sistema. Ahora, procede a escanear el sistema en búsqueda de ficheros para cifrar para posteriormente guardar una nota llamada “+HOW_TO_UNLOCK.txt,” que no contiene información útil. Es posible que esté todavía en desarrollo.

Fuente: zdnet | adslzone