Los ransomwares no dejan de sorprendernos. Han alcanzado tal nivel de complejidad para cifrar los archivos del sistema que incluso con una herramienta de seguridad, tu equipo podría no estar protegidos. Sí, aunque parezca algo complicado, expertos en seguridad han detectado una nueva amenaza que intenta la desinstalación de cualquier herramienta de seguridad existente en los equipos. Para ser más precisos, estamos hablando de AVCrypt, un nuevo ransomware avistado en Internet.
Pero este no es el único aspecto destacable. Expertos en seguridad de diferentes empresas han tenido la oportunidad de analizar el código y el comportamiento de esta amenaza, sacando conclusiones bastante interesantes. Ya hemos indicado que, antes de proceder con el cifrado de la información almacenada en el equipo, intenta desinstalar las herramientas de seguridad. Esto es así, pero también han descubierto que la amenaza se ceba con algunos servicios de Windows. Por ejemplo, también busca deshabilitar servicios como Windows Update, impidiendo al usuario que la recuperación del sistema sea sencilla.
Podía decirse que se obliga en cierto modo a un formateo del equipo, algo que, obviamente, es lo último que desea hacer el usuario.
Todos aquellos que quieran saber a simple vista si su equipo está afectado, solo deben buscar el ejecutable av2018.exe. Aunque no lo hemos mencionado aún, esto nos da pie a indicar que los equipos que se pueden ver afectados son todos aquellos que cuentan con sistema operativo Windows.
Intento de desinstalación de las herramientas de seguridad
Los expertos en seguridad han detectado dos vías de actuación a la hora de cumplir con este punto de su hoja de ruta. La primera es desactivando Windows Defender o Malwarebytes. La segunda es localizando los procesos de otras herramientas de seguridad y realizar la desinstalación de las mismas.
Los expertos en seguridad han revelado que el comando utilizado por la amenaza para realizar la desinstalación de los softwares antivirus no consigue realizar la desinstalación de forma correcta en algunos casos, por ejemplo, con las soluciones de la empresa desarrolladora Emisoft.
Proceso de cifrado de AVCrypt
Antes de comenzar con el cifrado, podría decirse que lleva a cabo una serie de tareas previas. La más destacable es aquella en la que se realiza una instalación de un cliente para conectarse a un servidor ubicado en la red Tor. Para ser más exactos, se utiliza la dirección bxp44w3qwwrmuupc.onion. A este se enviará la versión del sistema operativo Windows, la configuración horaria y la clave de cifrado generada y única para cada equipo.
En lo que se refiere al proceso de cifrado de archivos propiamente dicho, el ransomware escanea todas las carpetas del equipo en busca de archivos pertenecientes a suites de ofimática e imágenes. Sí, se trata de una amenaza muy poco ambiciosa en lo que se refiere al cifrado de archivos. Aunque también es cierto que la deshabilitación de tareas puede provocar males mayores a nivel e sistema operativo.
Finalidad del ransomware
Después de todo lo mencionado, no es posible determinar cuál es la finalidad que persigue el propietario de esta amenaza. Todas las que pertenecen a esta familia, ofrecen al usuario la posibilidad de realizar el pago de una cantidad de dinero (generalmente en criptomonedas) para “recuperar” el acceso a la información. Sin embargo, el archivo generado por esta amenaza, solo está ofreciendo el comentario “l0l n”.
Por este motivo, muchos expertos creen que AVCrypt se trata de un ransomwarecuyo desarrollo aún no ha finalizado. Es decir, el propietario está realizando pruebas, pero el resultado para el equipo puede ser fatal. Y es que, el cierre de servicios de sistema puede provocar comportamientos erráticos en Windows.
Fuente:https://www.redeszone.net/2018/03/24/avcrypt-ransomware-windows/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad