Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (55)
  • добавить в избранное
    Добавить в закладки

Антивирус как часть системы

Прочитали: 3331 Комментариев: 119 Рейтинг: 111

Как известно, Microsoft ведет борьбу работу с антивирусными компаниями. В частности, предоставляет всем вендорам одинаковые условия ограничивет доступ к внутренностям операционной системы и требует использовать ограниченный API. В числе прочего требования компании включают: вывод сообщений через интерфейсы операционной системы, интеграцию с Центром безопасности, использование для самозащиты специального сервиса от Microsoft. Новые ограничения требования к антивирусным продуктам появляются буквально каждую неделю.

С одной стороны это хорошо – ведь в мире полно «антивирусов». Но с другой – унифицированные интерфейсы предоставляют широкие возможности для злоумышленников. За примерами далеко ходить не придется: Trojan.Encoder.24939 и Trojan.Encoder.24938. Он же AVCrypt – новый образец троянцев-шифровальщиков.

AVCrypt не только пытается удалить антивирусные программы перед шифрованием файлов жертвы, но и удаляет некоторые службы Windows.

https://www.anti-malware.ru/news/2018-03-27-1447/25836

Троянец устанавливается на компьютерах с помощью файлов Microsoft Word с поддержкой макросов, которые якобы отправлены от доверенных поставщиков интернет-услуг. Известно, что угроза запускается как «av2018.exe» на взломанных компьютерах

https://www.enigmasoftware.com/avcryptransomware-removal

Внимание! Из-за ошибки этот троянец не может соединяться с серверами злоумышленников. Поэтому вы не дождетесь расшифровки, даже если отправите выкуп.

AVCrypt пытается удалить антивирусную защиту и отключить ряд служб Windows, в том числе MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend и MBAMWebProtection. Эти службы необходимы для работы антивирусов, в том числе Windows Defender.

Пример удаления сервиса:

cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";

Затем шифровальщик проверяет, зарегистрированы ли какие-либо антивирусные программы в Центре обеспечения безопасности Windows (Windows Security Center) и пытается удалить найденные решения через командную строку. Например, так:

cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;

Все просто.

#Windows #взлом_антивируса #выкуп #шифровальщик

Dr.Web рекомендует

Антивирус – привлекательная цель для злоумышленников. Среда, в которой он работает, не должна позволять удалять сервисы или компоненты антивируса, отключить или остановить его, заблокировать сообщения системы защиты.

Как показывает практика той же ОС Android, хакеров не сдерживают искусственные ограничения производителей операционных систем.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: