AVCrypt: Ataque que desinstala tu antivirus y encripta tu información
Conoce uno de los ciberataques más peligrosos conocidos hasta el momento, el cual desinstala el software de seguridad de tu PC y encripta después tu información.
La Seguridad IT es uno de los temas que más preocupan en los últimos tiempos tecnológicamente hablando, y es que los ataques de malware y de ransomware son desgraciadamente temas que están más a la orden del día de lo que nos gustaría. Por eso estar informados sobre este tipo de ataques, su prevención o cómo actuar en caso de ser infectados puede ser una gran ayuda en caso de vernos involucrados en una situación tan desagradable.
Hace unas horas en Solvetic informamos sobre uno de los malware del momento: DiskWriter, el cual afecta sobre Windows dejando el equipo totalmente inoperativo y pidiendo como rescate 300 dólares en bitcoins para volver a habilitarlo
Este tipo de ataques no paran de surgir, pero como ya hemos dicho estar informados y saber cómo proceder puede ser una buena técnica para su detección y prevención. En este caso vamos a hablar de un nuevo ataque de ransomware descubierto, el cual desinstala el antivirus de tu PC para después encriptar la información de tu ordenador.
Hace unos días desde MalwareHunterTeam dieron la voz de alarma en su cuenta de twitter Oficial con el siguiente Tweet:
Posteriormente desde Bleeping Computer se han encargado de analizarlo. AVCryt se trata de un ataque de ransomware cuanto menos curioso, ya que intenta o desinstala el software de seguridad del equipo antes de encriptar todo el contenido del mismo. Además, se encarga de eliminar servicios incluyendo la actualización de Windows, actuando en el equipo como un limpiador.
Lo que está claro es que AVCrypt no se trata de un ataque de ransomware común, y a continuación vamos a citar algunas de sus características que respaldan esta información:
- No podemos especificar si se trata de un ataque ransomware de forma total o un malware, ya que muestra elementos de cifrado pero no pide ningún rescate.
- Borra todos los antivirus de los PCs que infecta, entre ellos Windows Defender y Malware Bytes.
- Tras esto, analiza si existe algún antivirus instalado en Windows Security Center para conseguir eliminar los detalles utilizando la consola de comandos
- Por último, procede a subir los detalles de cifrado en Tor a una localización cifrada
- La nota de rescate se guarda bajo el nombre "+ HOW_TO_UNLOCK.txt", y no contiene instrucciones para un rescate, por lo que deducimos que todavía este ataque está en vías de desarrollo.
Desde Microsoft afirman que sólo se han encontrado dos muestras de este malware, lo cual respaldaría la teoría de todavía estaría incompleto y en su fase de desarrollo. Por las características anteriores y el modo de actúar los ciberexpertos no se atraven a afirmar si AVCrypt se trata de un ransomware o de un limpiador.