Le rançongiciel AVCrypt tente d'éradiquer votre antivirus

Un nouveau type de ransomware qui tente de désinstaller les logiciels de sécurité sur les PC victimes a été découvert dans la nature.

Le ransomware, baptisé AVCrypt, a été découvert pour la première fois par Équipe MalwareHunter puis analysé par des professionnels de la sécurité à Ordinateur qui bipe.

Selon une analyse du malware, AVCrypt tentera non seulement de supprimer l'antivirus existant produits avant de chiffrer un ordinateur compromis, mais supprimera également une sélection de Windows prestations de service.

Les chercheurs Lawrence Abrams et Michael Gillespie affirment que le ransomware « tente de désinstaller le logiciel d'une manière que nous n'avons jamais vue auparavant », ce qui le qualifie d'inhabituel.

Le véritable objectif du malware – qui semble être un ransomware en raison de ses capacités – est également remis en question, car certains éléments semblent inachevés. Il existe des éléments de cryptage, mais aucune véritable note de rançon, et avec le processus de suppression d'AVCrypt, il est possible que le logiciel malveillant soit également utilisé comme essuie-glace.

On ne sait pas encore comment AVCrypt cible les victimes. Cependant, lorsque le code malveillant s'exécute sur le PC d'une victime, le malware tente d'abord de supprimer le logiciel de sécurité en ciblant Windows Defender et Malwarebytes, ou en recherchant spécifiquement un autre logiciel antivirus avant de tenter de désinstaller le programmes.

Afin d'éradiquer les produits antivirus, le ransomware supprime les services Windows nécessaires à la protection. services pour fonctionner correctement, notamment MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend et MBAMWebProtection.

Le malware vérifie ensuite si un logiciel antivirus est enregistré auprès du Centre de sécurité Windows et supprime ces informations via la ligne de commande.

Cependant, lors des tests, les chercheurs affirment que le malware n'a pas pu supprimer le logiciel antivirus Emisoft grâce à ces techniques.

On ne sait pas si la suppression des services Windows pour entraver les protections antivirus fonctionnerait avec d'autres solutions.

Les fonctionnalités d'essuie-glace ne détruisent pas complètement les versions de Windows, mais entraîneront probablement une dégradation du service.

Une fois cette étape terminée, AVCrypt télécharge ensuite une clé de cryptage vers un emplacement TOR avec les informations système et le fuseau horaire. Le malware recherche ensuite les fichiers à chiffrer, les renommant ainsi.

La demande de rançon, enregistrée sous « +HOW_TO_UNLOCK.txt », ne contient aucune instruction de décryptage ni aucune information de contact; à la place, il y a ce qui semble être un texte d'espace réservé "mdr n".

Il semble que le ransomware soit en phase de développement, et bien qu'il existe un lien ténu entre AVCrypt et une attaque récente contre une université japonaise, on ne sait pas si le malware était responsable.

Voir également: Ransomware: un guide exécutif sur l'une des plus grandes menaces sur le Web

Microsoft a déclaré à la publication que seuls deux échantillons de ce malware avaient été détectés et que la société estime donc également qu'AVCrypt n'est pas encore terminé.

"Ce ransomware est assez destructeur pour un ordinateur infecté, mais il semble en même temps télécharger la clé de cryptage sur un serveur distant", expliquent les chercheurs. "Par conséquent, on ne sait pas s'il s'agit d'un véritable ransomware ou d'un essuie-glace déguisé en tel."

Couverture antérieure et connexe

• Un hôpital américain verse 55 000 dollars aux pirates informatiques après une attaque par ransomware
• Une fausse arnaque à la crypto-monnaie génère des ransomwares – et encore plus de malwares lorsque vous payez
• Ransomware: une nouvelle clé de décryptage gratuite permet de sauvegarder les fichiers verrouillés avec Cryakl