来自 MalwareHunterTeam 的安全研究员最近发现了一款新型的勒索软件,它会在加密计算机文件之前尝试删除已安装的杀毒软件。另外,由于它还会删除包括Windows Update在内的众多服务,并且未提供开发人员的联系信息,因此它也被认为可能是一个硬盘擦除器。
会删除已安装的杀毒软件
如上所述,当AVCrypt运行时,它会尝试从受害者的计算机上删除已安装的杀毒软件,尤其针对了Windows Defender和Malwarebytes公司开发的安全产品。它会通过以下两个步骤来做到这一点:
首先,AVCrypt会使用如下命令来删除正常运行Malwarebytes和Windows Defender所需的Windows服务。
cmd.exe /C sc config “MBAMService” start= disabled & sc stop “MBAMService” & sc delete “MBAMService”;
然后,它会查询Windows安全中心注册了哪些杀毒软件,并尝试通过如下WMIC命令将它们删除。
cmd.exe /C wmic product where ( Vendor like “%Emsisoft%” ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;
研究人员目前的分析表明,AVCrypt通过上述命令并不能删除Emsisoft(一款来自奥地利的知名防病毒安全软件)。另外,是否还有其他杀毒软件同样不受AVCrypt的影响,目前尚不清楚。
硬盘擦除器?勒索软件?
研究人员表示,目前尚不清楚AVCrypt到底应该被分类为硬盘擦除器还是勒索软件,因为它所表现出来的特征与这两种类别的恶意软件都存在一定程度的关联。
正如前面提到的那样,AVCrypt会在启动时首先尝试删除各种Windows服务,而这正是硬盘擦除器所具备的特征。尽管在这些服务被删除后Windows仍然能够正常工作,但在运行中可能会出现某些问题。所有这些服务如下图所示:
不过,AVCrypt不仅会加密文件以及创建一个赎金票据(命名为“+ HOW_TO_UNLOCK.txt”,并没有提供任何联系信息),而且还会将加密密钥上传到远程TOR站点,而这些的确又是属于勒索软件所具备的特征。
此外,即使AVCrypt的确是一款勒索软件,它也只能被认定是一款仍处于开发中的勒索软件。因为它会在启动之前会显示一条警 ,并包含了大量调试消息。
微软也表示,他们目前只能检测到这个勒索软件的两个样本,这透露出它目前似乎的确是处于开发阶段。微软目前将其检测为Ransom:Win32 / Pactelung.A。
AVCrypt的加密过程
当AVCrypt执行时,它会闲置一小段时间,提取一个嵌入式TOR客户端,并连接到名为“bxp44w3qwwrmuupc.onion”的命令和控制(C&C)服务器。之后,会将受害者计算机的加密密钥、时区和Windows版本进行上传。
研究人员表示,在这个上传中似乎存在一个错误,因为它将来自内存的其他内容也作为密钥的一部分进行了上传。
然后,它将尝试删除上述中的各种安全产品。最后,才是扫描要加密的文件,并在加密文件时将其以“+ [原始文件名] ”的格式进行重命名。例如,名为“test.jpg”的文件在被加密后,其文件名将被重命名为“+ test.jpg”。
另外,在AVCrypt运行时还会添加和修改各种注册表值,以降低计算机的安全性。
添加的注册表值包括:
修改的注册表值值包括:
完成后,它将执行一个名为“+ .bat”的批处理文件,该文件执行清理所有放置的文件、清除事件日志、终止勒索软件进程并删除自运行条目。
正如你所看到的那样,AVCrypt的确会对受感染的计算机造成很大的破坏,但同时也的确会将加密密钥上传到远程服务器。因此,目前还无法判定它到底是勒索软件还是硬盘擦除器。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!