AVCrypt病毒先删杀软再勒索 360实力反杀轻松拦截

近期，国外安全研究员发现了一款名为“AVCrypt”的新型勒索软件，它会在加密计算机文件之前尝试卸载包括Windows Defender、Malwarebytes等安全软件，同时禁用删除包括Windows防火墙在内的众多服务，降低系统的安全性，趁机在系统中横行，杀伤力极大。

躲避追杀最高境界：两步卸载杀毒软件

AVCrypt可以说是一个不按套路出牌的勒索软件。如果用户不小心感染AVCrypt，当它刚开始运行时，会尝试从受害者的计算机上删除已安装的杀毒软件，尤其针对Windows Defender和Malwarebytes公司开发的安全产品。

首先，AVCrypt会使用一些命令来删除正常运行Malwarebytes和Windows Defender所需的Windows服务；然后，它会查询Windows安全中心注册了哪些杀毒软件，并尝试将它们删除。

该病毒还秉承着“做戏做全套”的理念，卸载杀软之后，还会继续破坏微软的一些防火墙服务，降低系统安全性，并且还会将受害者计算机的加密密钥、时区和Windows版本进行上传到暗网的远程服务器。

勒索不为赎金？交易方式都没留下

最后AVCrypt才会显示出它的真面目——扫描要加密的文件，并在加密文件时将其以“+ [原始文件名] ”的格式进行重命名。例如，名为“Eula.txt”的文件在被加密后，其文件名将被重命名为“+Eula.txt”。

AVCrypt与之前的勒索病毒不同的是，加密文件之后并未留下任何联系方式，或缴纳赎金的提示。而且加密完成后，AVCrypt便会开始“自杀式清理行动”：它会执行一个批处理文件，该文件执行清理所有放置的文件、清除事件日志、终止勒索病毒进程并自删除。

虽然没有向用户勒索高额赎金，但一旦感染AVCrypt，就会对计算机系统造成很大的破坏，而且加密的文件很难破解。所以研究人员认为，这要么是一场恶作剧，要么就是一个正在调试状态中的勒索病毒。

不过，网民也无需过分担心，目前该病毒在国内没有大面积扩散迹象， 且只要保证360安全卫士开启，无需升级就能防御查杀该病毒，全方位保护用户电脑安全。【来源：砍柴网】

更多资讯详见：360社区早报（2018-4-4）