hotline

Végpontvédelmet támadó új ransomware

Curtis Franklin Jr. cikke nyomán a DarkReading oldaláról

Az AVCrypt még az észlelése és eltávolítása előtt megpróbálja letiltani az anti-malware szoftvert.

Egy újonnan felfedezett ransomware változat még az aljas munkája előtt megpróbálja eltávolítani egy áldozat gépén a működő anti-malware védelmet.

Biztonsági kutatók egy csoportja, köztük a bleepingcomputer.com-os Lawrence Abrams, a MalwareHunterTeam és Michael Gillespie fedezte fel ezt a kártevő és írtak róla egy bejegyzést a BleepingComputer oldalára. Az AVCrypt-nek elnevezett kártevő először megpróbál beazonosítani és eltávolítani számos olyan Windows szolgáltatást, amelyek szükségesek két specifikus antivírus alkalmazáshoz, a Windows Defender-hez és a Malwarebytes-hoz. Ez azért kell, hogy sikeresen tudjon működni.

Abrams a bejegyzésében elmondta, hogy az AVCrypt nem tűnik teljesnek, mivel nagyobb részek hiányoznak belőle. Habár felveszi a kapcsolatot egy C&C szerverrel és betitkosít fájlokat, valójában nem tartalmaz semmilyen váltságdíjas instrukciót vagy intézkedést a feloldáshoz.

A ransomware-ről folytatott egyik Twitter beszélgetésben jónéhány résztvevő rámutatott arra, hogy más kártevő típusok már képesek voltak letiltani bizonyos antivírus csomagokat, de ez egy teljesen új viselkedés egy ransomware-től. Azt is megjegyezték, hogy az AVCrypt kifejezetten a Malwarebytes és a Windows Defender megoldásokat veszi célba. A Defender az alapértelmezett antivírus megoldás a Microsoft-tól, amely jellemzően akkor aktiválódik be, ha a felhasználó úgy dönt, nem telepít fel más AV szoftvert.

A MalwareHunterTeam arra is rámutatott a Twitter beszélgetésben, hogy az AVCrypt még egy leállítási szekvencia parancsot is megszakíthat azért, hogy megakadályozza a felhasználót a “gyorsan kihúzzuk a tápot a gépből” folyamatban. A viselkedések ilyetén kombinációja miatt számos vészhelyzettel kapcsolatos standard folyamat működésképtelen lesz.

Habár az ebben a cikkben tárgyalt specifikus ransomware változat új, azért vannak egyezések más, korábban látott kártevő kódokkal. Egy Michael Gillespie-vel folytatott Twitter beszélgetésben a Microsoft Windows Defender Security Intelligence azt tweetelte heveny fordításban, hogy “#WindowsDefenderAV a kezdetektől blokkolta ezt a #ransomware-t a proaktív felhő-alapú védelmének használatával. Csak nagyon kevés példányt láttunk ebből a ransomware-ből, úgy tűnik, hogy még fejlesztés alatt áll. Ezt az új fenyegetést Ransom:Win32/Paxtelunk.A néven észleljük.”

Úgy látszik, hogy fellebbentették a fátylat egy nagyon új, nagyon kiforratlan ransomware változatról, még mielőtt kiengedhették volna a vadonba már végső formájában. Az AVCrypt továbbítási mechanizmusai látszólag megegyeznek más ransomware-ekével, beleértve a rosszindulatú spamet, a drive-by URL-eket és a kalóz szoftvereket. Viszont jelenleg úgy tűnik, hogy a már létező védelem precíz alkalmazásai megvédik a szervezeteket az AVCrypt ellen.

További információ angol nyelven

A honlap böngészésével elfogadja, hogy cookie-kat helyezzünk el az Ön számítógépén, hogy elemezni tudjuk, hogyan használja honlapunkat.