Seguridad al alcance de todos!


s√°bado, 24 de marzo de 2018

Se descubre nuevo Ransomware, con un inesperado comportamiento... (Con HasH incluido)



Un nuevo ransomware llamado AVCrypt ha sido descubierto intentando desinstalar cualquier tipo de software de seguridad antes de encriptar un computador. Ademas, este remueve una numerosa cantidad de servicios como Windows Update.



Después del análisis de MalwareHunterTeam, que fueron quienes descubrieron este ransomware y en conjunto con Michael Gillespie, lo decidieron llamar al Ransomware AVCrypt, teniendo como ejemplo de nombre av2018.exe.


Lo que m√°s llama la atenci√≥n de este Ransomware, es que intenta la desinstalaci√≥n de cualquier software de seguridad y este comportamiento no se hab√≠a visto en ning√ļn Ransomware anterior.

Proceso de intento de desinstalación


Una vez iniciado el proceso de AVCrypt este intenta remover cualquier software de seguridad en el computador de la victima. Esto lo hace de dos manera, la primera es atacando directamente a Windows Defender, y la segunda es consultando todos los software de seguridad que tenga la victima e intentar√° desinstalarlos.

First AVCrypt eliminar√° los servicios de Windows necesarios para el correcto funcionamiento de Malwarebytes y Windows Defender. Lo hace usando un comando como el siguiente formato:

cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc  delete "MBAMService"; 
 
Este posteriormente consulta cual es el Software de Antivirus que esta registrado en Windows Security Center e intenta eliminarlo via WMIC

cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & 
shutdown /a & shutdown /a & shutdown /a;

Al mismo tiempo, esta infección carga la clave de cifrado a un sitio TOR remoto y el contenido de la nota podría ser simplemente un marcador de posición. Además, al ejecutar el ransomware muestra una alerta antes de que comience y hay numerosos mensajes de depuración, por lo que podría ser simplemente un ransomware de desarrollo.

Microsoft le dijo a BleepingComputer que solo han detectado dos muestras de este ransomware, y que posiblemente sean en la computadora del investigador, por lo que sienten que esta infección está actualmente en desarrollo. Microsoft lo está detectando actualmente como Ransom: Win32 / Pactelung.A.

 

Información Relevante e Importante


HASH 


a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f
58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2


Conexiones de red


bxp44w3qwwrmuupc.onion
 


Archivos Asociados
 
+HOW_TO_UNLOCK.txt
%AppData%\[username].exe
%Temp%\libeay32.dll
%Temp%\libevent-2-0-5.dll
%Temp%\libevent_core-2-0-5.dll
%Temp%\libevent_extra-2-0-5.dll
%Temp%\libgcc_s_sjlj-1.dll
%Temp%\libgmp-10.dll
%Temp%\libssp-0.dll
%Temp%\ssleay32.dll
%Temp%\t.bmp
%Temp%\t.zip
%Temp%\tor.exe
%Temp%\zlib1.dll  
Compartir:

Siguenos en Facebook

Patagonia Hacking

Etiquietas

4GLTE ACS Actualidad Actualizaciones ADB Adblocker Adguard Adobe Adware Amazon AMD Analitica Android AndroidP Annabelle App Store Apple Argentina ARM ARPSpoofing Assa Abloy Asus ATM Auditoria Australia Auth0 Avast Aviso AWS Azure Sphere backdoor Banco de Chile Bancos Banking Bitcoins Blackberry BlackEnergy Blizzard BlockChain Botnet Brambul Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberGuerra CiberSeguridad Cifrado Cisco Cisco DNA Cisco Talos CloudFlare Coca-Cola CoinHive Colegio Combojack Copiapo Corfo Correo correos Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CSP CVE Cyberbit D-Link DASAN DDOS DefaultPassword Defensa DHCP DHS DigiCert Digital Shadows Dmitri Kaslov DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax ESNIC Espionaje EstadosUnidos Etherium Ethical Hacking Europol Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FBS FedEx Fingerprint Finlandia FlawsCloud FortiGuard Fortinet Fortnite GandCrab Git GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpg Gpon Hackers Hacking hcsshim HDD Hidden Cobra Hispasec Hoteles HTTP Injector Huawei IBM idleBuddy IE Ingenieria Social Instagram Intel Internet InternetExplorer IonCube iOS Iot Iran Irán ISO/IEC JavaScript Joanap JSCRIPT Juegos Junos OS Kali Kane Gamble Karim Baratov Kaspersky KillDisk Kronos leaks Lenovo linkedin Linux Luka MAC MacOS Magento Malware MalwareHunterTeam MalwareTech MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud MySql NanoCore Nas Netflix Neutralidad Never Defender NewSky Security Nintendo Noticias Noticias. NSA NTLM NYT OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PenTestPartner PGP Phishing PHP PoC PornHub PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 QNAP Radware ransomware RAT RBL RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Roaming Mantis Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica Sev shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Softzone Sonido Sophos Sora Spam Spectre Squid SSLER StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers TheMoon ThunderBird TLS Tor Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti UltraSonido Unix UPnP Noticias UPVel Utorrent videojuegos VingCard Virus VM VPN VPNFilter VPNHub VRP Vulnerabilidad Vulnerabilidades Wandera WannaCry Watchguard Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance Windows Vulnerabilidad WindowsUpdate WinstarNssmMiner Wireless Ruckus WordPress WPA3 wpscan XSS Yahoo Youtube Z-shave Z-wave ZDI ZeroDays ZTE

Historial

Vistas a la p√°gina totales