Експерти виявили вірус, який може видаляти антивіруси з комп’ютерів жертв

Фахівці MalwareHunterTeam виявили програму-вимагач AVCrypt, яка блокує роботу встановлених на комп’ютері антивірусів.

Після цього програма шифрує всю інформацію на пристрої, повідомляє Bleeping Computer.

Крім того, вірус AVCrypt видаляє численні служби, в тому числі служби Windows Update, і не надає контактної інформації, щоб інформацію можна було відновити після сплати викупу. Відзначається, що Windows буде продовжувати функціонувати після видалення цих служб, але – з помилками.

Спочатку AVCrypt намагається деактивувати Windows Defender і Malwarebytes. Потім шифрувальник перевіряє, чи зареєстрована якась антивірусна програма в Центрі забезпечення безпеки Windows (Windows Security Center), якщо це так, AVCrypt видаляє ці дані через командний рядок. Однак дослідники MalwareHunterTeam відзначили, що під час тестування роботи програма не змогла видалити антивірусне програмне забезпечення Emisoft.

Microsoft повідомила BleepingComputer, що вони виявили лише два випадки цього вимагання. Ще один випадок видалення антивірусних програм подібним способом був описаний в блозі одного з японських університетів, але вчені поки не повідомили подробиці про атаку.

Фахівці MalwareHunterTeam відзначили, що зловмисники не залишили контактні дані для відправки викупу. Замість цього в файлах з вимогами про викуп з ім’ям з ім’ям + HOW_TO_UNLOCK.txt міститься текст “lol n”.

За попередньою версією, запущений вірус може виявитися програмою-вайпером, яка призначена для видалення даних з комп’ютерів жертв. На думку експертів, вірус AVCrypt знаходиться поки на етапі розробки.