Un nuevo ransomware llamado AVCrypt ha sido descubierto intentando desinstalar cualquier tipo de software de seguridad antes de encriptar un computador. Ademas, este remueve una numerosa cantidad de servicios como Windows Update.
Después del análisis de MalwareHunterTeam, que fueron quienes descubrieron este ransomware y en conjunto con Michael Gillespie, lo decidieron llamar al Ransomware AVCrypt, teniendo como ejemplo de nombre av2018.exe.
Lo que más llama la atención de este Ransomware, es que intenta la desinstalación de cualquier software de seguridad y este comportamiento no se había visto en ningún Ransomware anterior.
Proceso de intento de desinstalación
Una vez iniciado el proceso de AVCrypt este intenta remover cualquier software de seguridad en el computador de la victima. Esto lo hace de dos manera, la primera es atacando directamente a Windows Defender, y la segunda es consultando todos los software de seguridad que tenga la victima e intentará desinstalarlos.
First AVCrypt eliminará los servicios de Windows necesarios para el correcto funcionamiento de Malwarebytes y Windows Defender. Lo hace usando un comando como el siguiente formato:
cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";
Este posteriormente consulta cual es el Software de Antivirus que esta registrado en Windows Security Center e intenta eliminarlo via WMIC
cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive &
shutdown /a & shutdown /a & shutdown /a;
Al mismo tiempo, esta infección carga la clave de cifrado a un sitio TOR remoto y el contenido de la nota podría ser simplemente un marcador de posición. Además, al ejecutar el ransomware muestra una alerta antes de que comience y hay numerosos mensajes de depuración, por lo que podría ser simplemente un ransomware de desarrollo.
Microsoft le dijo a BleepingComputer que solo han detectado dos muestras de este ransomware, y que posiblemente sean en la computadora del investigador, por lo que sienten que esta infección está actualmente en desarrollo. Microsoft lo está detectando actualmente como Ransom: Win32 / Pactelung.A.
Información Relevante e Importante
HASH
a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f
58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2
Conexiones de red
bxp44w3qwwrmuupc.onion
Archivos Asociados
+HOW_TO_UNLOCK.txt
%AppData%\[username].exe
%Temp%\libeay32.dll
%Temp%\libevent-2-0-5.dll
%Temp%\libevent_core-2-0-5.dll
%Temp%\libevent_extra-2-0-5.dll
%Temp%\libgcc_s_sjlj-1.dll
%Temp%\libgmp-10.dll
%Temp%\libssp-0.dll
%Temp%\ssleay32.dll
%Temp%\t.bmp
%Temp%\t.zip
%Temp%\tor.exe
%Temp%\zlib1.dll