s
近日,安天 CERT(安全研究與應(yīng)急 處理中心)發(fā)現(xiàn)一例試圖卸載反病毒程序 的勒索軟件“AVCrypt”。該勒索軟件運(yùn) 行后試圖在加密計(jì)算機(jī)之前卸載現(xiàn)有的安 全 軟 件, 刪 除 包 括 Windows Update 在 內(nèi) 的一些服務(wù),警告信息只有幾個字母,因 此安天分析人員認(rèn)為它可能是一個 wiper。
“AVCrypt”運(yùn)行時,會試圖從受害 者的計(jì)算機(jī)上刪除已安裝的安全軟件。 有兩種方式,一種是單獨(dú)針對 Windows Defender 和 Malwarebytes, 另 外 一 種 是 查詢已安裝的 AV 軟件,然后嘗試刪除 它們。首先,“AVCrypt”將刪除正確運(yùn) 行 Malwarebytes 和 Windows Defender 所 需 的 Windows 服 務(wù), 操 作 命 令 為“cmd. exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService"& sc delete "MBAMService"”。 然 后 查 詢 在 Windows 安全中心注冊的 AV 軟件并嘗 試 通 過 WMIC 刪 除:“cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a”。 同 時,在該勒索軟件啟動時會試圖刪除各種 Windows 服 務(wù), 包 括:“MBAMService MBAMSwissArmy MBAMChameleon MBAMWebProtection MBAMFarflt ESProtectionDriver MBAMProtection Schedule WPDBusEnum TermService SDRSVC RasMan PcaSvc MsMpSvc SharedAccess wscsvc srservice VSS swprv WerSvc MpsSvc WinDefend wuauserv”,這些服務(wù)被刪除后 Windows 仍然能夠正常 工作,但可能會出現(xiàn)問題。此外,勒索軟 件創(chuàng)建的警告信息不提供任何聯(lián)系信息, 只有“l(fā)ol n”字樣,因此分析人員認(rèn)為該 勒索軟件并未開發(fā)完成,而是正在測試中。
安天 CERT 提醒廣大網(wǎng)絡(luò)使用者,要 提高網(wǎng)絡(luò)安全意識,在日常工作中要及時 進(jìn)行系統(tǒng)更新和漏洞修復(fù),不要隨意下載 非正版的應(yīng)用軟件、非官方游戲、注冊機(jī) 等。收發(fā)郵件時要確認(rèn)收發(fā)來源是否可靠, 更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址 及輕易下載來源不明的附件,發(fā)現(xiàn)網(wǎng)絡(luò)異 常要提高警惕并及時采取應(yīng)對措施,養(yǎng)成 及時更新操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。 目前,安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該類惡 意代碼的檢出。
129期報(bào)告匯總
安天發(fā)布《可卸載反病毒程序的勒索軟件“AVCrypt”分析報(bào)告》
近日,安天 CERT(安全研究與應(yīng)急 處理中心)發(fā)現(xiàn)一例試圖卸載反病毒程序 的勒索軟件“AVCrypt”。該勒索軟件運(yùn) 行后試圖在加密計(jì)算機(jī)之前卸載現(xiàn)有的安 全 軟 件, 刪 除 包 括 Windows Update 在 內(nèi) 的一些服務(wù),警告信息只有幾個字母,因 此安天分析人員認(rèn)為它可能是一個 wiper。
“AVCrypt”運(yùn)行時,會試圖從受害 者的計(jì)算機(jī)上刪除已安裝的安全軟件。 有兩種方式,一種是單獨(dú)針對 Windows Defender 和 Malwarebytes, 另 外 一 種 是 查詢已安裝的 AV 軟件,然后嘗試刪除 它們。首先,“AVCrypt”將刪除正確運(yùn) 行 Malwarebytes 和 Windows Defender 所 需 的 Windows 服 務(wù), 操 作 命 令 為“cmd. exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService"& sc delete "MBAMService"”。 然 后 查 詢 在 Windows 安全中心注冊的 AV 軟件并嘗 試 通 過 WMIC 刪 除:“cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a”。 同 時,在該勒索軟件啟動時會試圖刪除各種 Windows 服 務(wù), 包 括:“MBAMService MBAMSwissArmy MBAMChameleon MBAMWebProtection MBAMFarflt ESProtectionDriver MBAMProtection Schedule WPDBusEnum TermService SDRSVC RasMan PcaSvc MsMpSvc SharedAccess wscsvc srservice VSS swprv WerSvc MpsSvc WinDefend wuauserv”,這些服務(wù)被刪除后 Windows 仍然能夠正常 工作,但可能會出現(xiàn)問題。此外,勒索軟 件創(chuàng)建的警告信息不提供任何聯(lián)系信息, 只有“l(fā)ol n”字樣,因此分析人員認(rèn)為該 勒索軟件并未開發(fā)完成,而是正在測試中。
安天 CERT 提醒廣大網(wǎng)絡(luò)使用者,要 提高網(wǎng)絡(luò)安全意識,在日常工作中要及時 進(jìn)行系統(tǒng)更新和漏洞修復(fù),不要隨意下載 非正版的應(yīng)用軟件、非官方游戲、注冊機(jī) 等。收發(fā)郵件時要確認(rèn)收發(fā)來源是否可靠, 更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址 及輕易下載來源不明的附件,發(fā)現(xiàn)網(wǎng)絡(luò)異 常要提高警惕并及時采取應(yīng)對措施,養(yǎng)成 及時更新操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。 目前,安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該類惡 意代碼的檢出。
