Autor Tema: Analizando AvCript  (Leído 359 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 802
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Analizando AvCript
« el: 26 marzo de 2018, 09:55 pm »

Los ransomwares no dejan de sorprendernos. Han alcanzado tal nivel de complejidad para cifrar los archivos del sistema que incluso con una herramienta de seguridad, tu equipo podría no estar protegidos. Sí, aunque parezca algo complicado, expertos en seguridad han detectado una nueva amenaza que intenta la desinstalación de cualquier herramienta de seguridad existente en los equipos. Para ser más precisos, estamos hablando de AVCrypt, un nuevo ransomware avistado en Internet.

Proceso de cifrado de AVCrypt

Antes de comenzar con el cifrado, podría decirse que lleva a cabo una serie de tareas previas. La más destacable es aquella en la que se realiza una instalación de un cliente para conectarse a un servidor ubicado en la red Tor. Para ser más exactos, se utiliza la dirección bxp44w3qwwrmuupc.onion. A este se enviará la versión del sistema operativo Windows, la configuración horaria y la clave de cifrado generada y única para cada equipo.

En lo que se refiere al proceso de cifrado de archivos propiamente dicho, el ransomware escanea todas las carpetas del equipo en busca de archivos pertenecientes a suites de ofimática e imágenes. Sí, se trata de una amenaza muy poco ambiciosa en lo que se refiere al cifrado de archivos. Aunque también es cierto que la deshabilitación de tareas puede provocar males mayores a nivel e sistema operativo.

Ejecución de AvCrypt

Como primer medida lo que realiza literalmente es desinstalar cualquier antivirus tengas como defensa para luego ejecutar los procesos iniciales "conhost.exe" y "cmd.exe". Para poder lanzar la consola de comandos de windows pide, explicitamente, permisos de administrador que seguirá insistiendo hasta que aceptes.

Luego sigue como objetivo "msiexec.exe" el instalador de paquetes de Windows para poder desinstalar casi formalmente el antivirus de turno tengas instalado. Entonces ¿Cómo lo logra?, básicamente eliminando/desactivando los siguientes procesos y/o servicios de Windows:

  • MBAMService
  • MBAMSwissArme
  • MBAMChameleon
  • MBAMWebProtection
  • MBAMFarflt
  • ESProtectionDriver
  • MBAMProtection
  • Schedule
  • WPDBusEnum
  • TermService
  • SDRSVC
  • RasMan
  • PcaSvc
  • MsMpSvc
  • SharedAccess
  • wscsvc
  • srservice
  • VSS
  • swprv
  • WerSvc
  • MpsSvc
  • WinDefend
  • wuauserv



Al momento de la encriptación no provee información del contacto solo dice "lol" parece una mala broma de lo que pueden hacer con invertir un poco de tiempo en programar.

Finalidad del ransomware

Después de todo lo mencionado, no es posible determinar cuál es la finalidad que persigue el propietario de esta amenaza. Todas las que pertenecen a esta familia, ofrecen al usuario la posibilidad de realizar el pago de una cantidad de dinero (generalmente en criptomonedas) para “recuperar” el acceso a la información. Sin embargo, el archivo generado por esta amenaza, solo está ofreciendo el comentario “l0l n”.

Por este motivo, muchos expertos creen que AVCrypt se trata de un ransomware cuyo desarrollo aún no ha finalizado. Es decir, el propietario está realizando pruebas, pero el resultado para el equipo puede ser fatal. Y es que, el cierre de servicios de sistema puede provocar comportamientos erráticos en Windows.

Por el momento, solo se está distribuyendo a través de páginas webs falsas y no se ha detectado ninguna campaña de correo electrónico spam.


Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.