Analistas de seguridad informática han descubierto un nuevo tipo de ransomware que intenta desinstalar cualquier tipo de software de seguridad en las PC de los usuarios. Su nombre es AVCrypt, y fue revelado por primera vez por MalwareHunterTeam, y posteriormente analizado por el equipo de Bleeping Computer.
Ransomware uninstalling AVs before encrypting… Not seen this before.
?@BleepinComputer @demonslay335— MalwareHunterTeam (@malwrhunterteam) March 22, 2018
Según los investigadores, AVCrypt no solo intentará eliminar cualquier antivirus antes de cifrar los archivos de los ordenadores comprometidos, sino que también eliminará algunos servicios de Windows. Asimismo, afirmaron que se trata de un malware inusual, cuyas capacidades son similares a las de un ransomware, ya que existen elementos de encriptación y una nota de rescate. Pese a ello, los expertos aún no saben cómo AVCrypt se dirige a las víctimas.
Cuando el malware se ejecuta en la PC del usuario, este intenta en primer lugar eliminar el software de seguridad, ubicando primero a Windows Defender o cualquier otro antivirus. Para lograrlo, el ransomware elimina los servicios de Windows que se necesitan para que los servicios de seguridad se ejecuten correctamente (MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend y MBAMWebProtection).
Luego, AVCrypt verifica si algún antivirus está registrado en el Centro de Seguridad de Windows y elimina estos detalles mediante una línea de comandos, degradando la funcionalidad del servicio. Posteriormente, el malware busca los archivos para encriptarlos y muestra una nota de rescate bajo el nombre +HOW_TO_UNLOCK.txt.
Sin embargo, no existe más información sobre este ransomware, y a pesar de que se produjo un ataque informático a una universidad japonesa con características similares a AVCrypt, no hay evidencia de que este sea el responsable. Por su parte, Microsoft ha declarado que cree que el malware aún está en proceso de desarrollo, y que además, “no se sabe si se trata de un verdadero ransomware o un limpiador disfrazado de uno”.
