El antivirus no funciona de forma correcta? Tu equipo puede estar afectado por este ransomware : AVCrypt

 


AVCrypt es un ransomware que busca desinstalar herramientas de seguridad

Los ransomwares no dejan de sorprendernos. Han alcanzado tal nivel de complejidad para cifrar los archivos del sistema que incluso con una herramienta de seguridad, tu equipo podría no estar protegidos. Sí, aunque parezca algo complicado, expertos en seguridad han detectado una nueva amenaza que intenta la desinstalación de cualquier herramienta de seguridad existente en los equipos. Para ser más precisos, estamos hablando de AVCrypt, un nuevo ransomware avistado en Internet.

Pero este no es el único aspecto destacable. Expertos en seguridad de diferentes empresas han tenido la oportunidad de analizar el código y el comportamiento de esta amenaza, sacando conclusiones bastante interesantes. Ya hemos indicado que, antes de proceder con el cifrado de la información almacenada en el equipo, intenta desinstalar las herramientas de seguridad. Esto es así, pero también han descubierto que la amenaza se ceba con algunos servicios de Windows. Por ejemplo, también busca deshabilitar servicios como Windows Update, impidiendo al usuario que la recuperación del sistema sea sencilla.

Podía decirse que se obliga en cierto modo a un formateo del equipo, algo que, obviamente, es lo último que desea hacer el usuario.

Todos aquellos que quieran saber a simple vista si su equipo está afectado, solo deben buscar el ejecutable av2018.exe. Aunque no lo hemos mencionado aún, esto nos da pie a indicar que los equipos que se pueden ver afectados son todos aquellos que cuentan con sistema operativo Windows.

Intento de desinstalación de las herramientas de seguridad

Los expertos en seguridad han detectado dos vías de actuación a la hora de cumplir con este punto de su hoja de ruta. La primera es desactivando Windows Defender o Malwarebytes. La segunda es localizando los procesos de otras herramientas de seguridad y realizar la desinstalación de las mismas.

Los expertos en seguridad han revelado que el comando utilizado por la amenaza para realizar la desinstalación de los softwares antivirus no consigue realizar la desinstalación de forma correcta en algunos casos, por ejemplo, con las soluciones de la empresa desarrolladora Emisoft.

Proceso de cifrado de AVCrypt

Antes de comenzar con el cifrado, podría decirse que lleva a cabo una serie de tareas previas. La más destacable es aquella en la que se realiza una instalación de un cliente para conectarse a un servidor ubicado en la red Tor. Para ser más exactos, se utiliza la dirección bxp44w3qwwrmuupc.onion. A este se enviará la versión del sistema operativo Windows, la configuración horaria y la clave de cifrado generada y única para cada equipo.

En lo que se refiere al proceso de cifrado de archivos propiamente dicho, el ransomware escanea todas las carpetas del equipo en busca de archivos pertenecientes a suites de ofimática e imágenes. Sí, se trata de una amenaza muy poco ambiciosa en lo que se refiere al cifrado de archivos. Aunque también es cierto que la deshabilitación de tareas puede provocar males mayores a nivel e sistema operativo.

Por este motivo, siempre es bueno tener a mano una copia de seguridad.

Finalidad del ransomware

Después de todo lo mencionado, no es posible determinar cuál es la finalidad que persigue el propietario de esta amenaza. Todas las que pertenecen a esta familia, ofrecen al usuario la posibilidad de realizar el pago de una cantidad de dinero (generalmente en criptomonedas) para “recuperar” el acceso a la información. Sin embargo, el archivo generado por esta amenaza, solo está ofreciendo el comentario “l0l n”.

Por este motivo, muchos expertos creen que AVCrypt se trata de un ransomware cuyo desarrollo aún no ha finalizado. Es decir, el propietario está realizando pruebas, pero el resultado para el equipo puede ser fatal. Y es que, el cierre de servicios de sistema puede provocar comportamientos erráticos en Windows.

Por el momento, solo se está distribuyendo a través de páginas webs falsas y no se ha detectado ninguna campaña de correo electrónico spam.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies