Эксперты обнаружили вирус, который может удалять антивирусы с компьютеров жертв

Специалисты MalwareHunterTeam обнаружили программу-вымогатель AVCrypt, которая блокирует работу установленных на компьютере антивирусов.

После этого программа шифрует всю информацию на устройстве, сообщает Bleeping Computer.

Кроме того, вирус AVCrypt удаляет многочисленные службы, в том числе службы Windows Update, и не дает контактной информации, чтобы информацию можно было восстановить после уплаты выкупа. Отмечается, что Windows будет продолжать функционировать после удаления этих служб, но – с ошибками.

Сначала AVCrypt пытается деактивировать Windows Defender и Kaspersky. Затем шифровальщик проверяет, зарегистрирована ли какая-либо антивирусная программа в Центре обеспечения безопасности Windows (Windows Security Center), если это так, AVCrypt удаляет эти данные через командную строку. Однако исследователи MalwareHunterTeam отметили, что во время тестирования программа не смогла удалить антивирусное программное обеспечение Emisoft.

Microsoft сообщила BleepingComputer, что они обнаружили только два случая этого вымогательства. Еще один случай удаления антивирусных программ подобным способом был описан в блоге одного из японских университетов, но ученые пока не сообщили подробности об атаке.

Специалисты MalwareHunterTeam отметили, что злоумышленники не оставили контактных данных для отправки выкупа. Вместо этого в файлах с требованиями о выкупе с именем с именем + HOW_TO_UNLOCK.txt содержится текст “lol n”.

По предварительной версии, запущенный вирус может оказаться программой-вайпером, которая предназначена для удаления данных с компьютеров жертв. По мнению экспертов, вирус AVCrypt находится пока на этапе разработки.

Источник