s
129期报告汇总
安天发布《可卸载反病毒程序的勒索软件“AVCrypt”分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)发现一例试图卸载反病毒程序 的勒索软件“AVCrypt”。该勒索软件运 行后试图在加密计算机之前卸载现有的安 全 软 件, 删 除 包 括 Windows Update 在 内 的一些服务,警告信息只有几个字母,因 此安天分析人员认为它可能是一个 wiper。

     “AVCrypt”运行时,会试图从受害 者的计算机上删除已安装的安全软件。 有两种方式,一种是单独针对 Windows Defender 和 Malwarebytes, 另 外 一 种 是 查询已安装的 AV 软件,然后尝试删除 它们。首先,“AVCrypt”将删除正确运 行 Malwarebytes 和 Windows Defender 所 需 的 Windows 服 务, 操 作 命 令 为“cmd. exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService"& sc delete "MBAMService"”。 然 后 查 询 在 Windows 安全中心注册的 AV 软件并尝 试 通 过 WMIC 删 除:“cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a”。 同 时,在该勒索软件启动时会试图删除各种 Windows 服 务, 包 括:“MBAMService MBAMSwissArmy MBAMChameleon MBAMWebProtection MBAMFarflt ESProtectionDriver MBAMProtection Schedule WPDBusEnum TermService SDRSVC RasMan PcaSvc MsMpSvc SharedAccess wscsvc srservice VSS swprv WerSvc MpsSvc WinDefend wuauserv”,这些服务被删除后 Windows 仍然能够正常 工作,但可能会出现问题。此外,勒索软 件创建的警告信息不提供任何联系信息, 只有“lol n”字样,因此分析人员认为该 勒索软件并未开发完成,而是正在测试中。

     安天 CERT 提醒广大网络使用者,要 提高网络安全意识,在日常工作中要及时 进行系统更新和漏洞修复,不要随意下载 非正版的应用软件、非官方游戏、注册机 等。收发邮件时要确认收发来源是否可靠, 更加不要随意点击或者复制邮件中的网址 及轻易下载来源不明的附件,发现网络异 常要提高警惕并及时采取应对措施,养成 及时更新操作系统和软件应用的好习惯。 目前,安天追影产品已经实现了对该类恶 意代码的检出。