La sécurité informatique est l'un des problèmes les plus préoccupants de ces derniers temps sur le plan technologique, et c'est que les attaques de logiciels malveillants et de ransomwares sont malheureusement plus à l'ordre du jour que nous le souhaiterions. C'est pourquoi être informé de ce type d'attaque, de sa prévention ou de la façon d'agir en cas d'infection peut être d'une grande aide au cas où nous serions impliqués dans une situation aussi désagréable.
Il y a quelques heures dans Solvetic nous avons signalé l'un des malwares du moment : DiskWriter, qui affecte Windows, laissant l'ordinateur complètement inopérant et demandant une rançon de 300 dollars en bitcoins pour le réactiver
Ces types d'attaques ne cessent d'émerger, mais comme nous l'avons déjà dit, être informé et savoir comment procéder peut être une bonne technique pour leur détection et leur prévention. Dans ce cas, nous allons parler d'une nouvelle attaque de ransomware découverte, qui désinstalle l'antivirus de votre PC puis crypte les informations sur votre ordinateur.
Découvrez AVCrypt, la nouvelle attaque qui désinstalle votre antivirus
Il y a quelques jours, MalwareHunterTeam a sonné l'alarme sur son compte twitter officiel avec le Tweet suivant :
Plus tard, de Bleeping Computer, ils ont été chargés de l'analyser. AVCryt est une curieuse attaque de ransomware, car il essaie ou désinstalle le logiciel de sécurité de l'ordinateur avant de crypter tout son contenu. De plus, il est chargé d'éliminer les services dont la mise à jour Windows, agissant sur l'ordinateur comme un nettoyeur.
Ce qui est clair, c'est qu'AVCrypt n'est pas une attaque de ransomware courante, et ci-dessous nous citerons certaines de ses caractéristiques qui prennent en charge ces informations :
- Nous ne pouvons pas spécifier s'il s'agit d'une attaque de ransomware totale ou d'un malware, car il montre des éléments de cryptage mais ne demande aucune rançon.
- Il supprime tous les antivirus des PC qu'il infecte, y compris Windows Defender et Malware Bytes.
- Après cela, il analyse s'il y a un antivirus installé dans Windows Security Center pour pouvoir éliminer les détails à l'aide de la console de commande
- Enfin, procédez au téléchargement des détails de cryptage dans Tor vers un emplacement crypté
- La demande de rançon est enregistrée sous le nom "+ HOW_TO_UNLOCK.txt", et ne contient pas d'instructions pour une rançon, nous en déduisons donc que cette attaque est toujours en cours de développement.
Qu'en dit Microsoft ?
Microsoft déclare que seuls deux échantillons de ce malware ont été trouvés, ce qui soutiendrait la théorie selon laquelle il serait encore incomplet et en phase de développement. En raison des caractéristiques ci-dessus et de la façon dont ils agissent, les cyber-experts n'osent pas dire si AVCrypt est un ransomware ou un nettoyeur.
