תוכנת כופר מנסה לבטל מנגנוני אבטחה של מיקרוסופט

כדי להשבית את Windows Defender, התוכנה הזדונית מגדירה ערכי Registry שונים המבטלים ניטור התנהגות, הגנה בזמן אמת, העלאת דוגמיות למיקרוסופט והגנה על שירותים של מיקרוסופט

bigstockphoto

על מנת להצפין בהצלחה את נתוני הקורבן, תוכנת הכופר Clop CryptoMix מנסה להשבית את Windows Defender וכן להסיר את תוכנות האבטחה העצמאיות של מיקרוסופט ותוכניות Anti-Ransomware העצמאיות של Malwarebytes.

Clop היא גרסא של CryptoMix, המשתמשת בתוסף Clop וחותמת על פתק הכופר CIopReadMe.txt עם "Dont Worry C | 0P". כתוצאה מכך, תוכנת הכופר נודעה בשם Clop Ransomware.

כדי להשבית את Windows Defender, התוכנה הזדונית מגדירה ערכי Registry שונים המבטלים ניטור התנהגות, הגנה בזמן אמת, העלאת דוגמיות למיקרוסופט, הגנה על שירותים של מיקרוסופט (Tamper Protection), איתור עננים וגילוי נגד תוכנות ריגול. החדשות הטובות הן שאם הופעל Tamper Protection ב- Windows 10, הגדרות אלה פשוט יאופסו חזרה לתצורת ברירת המחדל שלהן ו- Windows Defender לא יושבת.

עם זאת עבור אלה שאינם משתמשים בTamper Protection, הנוזקה תבטל את Windows Defender ביעילות כך שהוא לא יגלה פעולות התקפיות. בנוסף ל- Windows Defender, תוכנת הכופר ממוקדת גם במחשבים ישנים על ידי הסרת ההתקנה של Microsoft Security Essentials. תוכנת הכופר Clop אינה חדשה , אך לאחרונה קבוצת APT בשם TA505 משתמשת בה.

אולי יעניין אותך גם