Annabelle – un Ransomware facut pentru propriul orgoliu ?

Se raspandeste un nou ransomware numit Annabelle.

Ce face ?

Dupa infectare, Annabelle se va configura să pornească automat la pornirea calculatorului. In urmatoarea etapa blocheaza pornirea unor programe care l-ar putea detecta si opri, cum ar fi : programele antivirus, Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome samd. Folosind scrierea in registrii Windows configureaza setarile  (Image File Execution) si dezactiveaza executia programelor de mai sus  si a altor programe ( Notepad ++, Notepad, Internet Explorer, Chrome, Opera, bcdedit si multe altele) .

Apoi ransomware-ul Annabelle  încerca să se răspândească folosind fișierele  autoru.inf. Această metodă nu functioneaza in versiunile  noi de Windows deoarece acestea  nu acceptă caracteristica de redare automată. Apoi va începe criptarea calculatorului cu o cheie statică, iar fișierele criptate vor primi extensia .ANNABELLE

Dupa criptare PC-ul va reporni si dupa conectare  Annabelle  va afișa ecranul de blocare afișat în partea de sus a acestui articol. Ecranul de blocare are un buton de credite care atunci cand este apasat rescrie sectorul de boot al HDD-ului si va afisa un ecran de blocare MBR.

Din fericire  Annabelle are la baza  Stupid Ransomware și este usor de inlaturat.  Deoarece Annabelle  foloseste pentru criptare o cheie statică,  Michael Gillespie a reusit să-și actualizeze programul StupidDecryptor pentru a decripta această variantă.

Remedierea problemelor cauzate de Annabelle  se poate face folosind Rkill pentru curatare MBR si registrii si decryptorul lui Michael pentru a decripta fișierele afectate.

Annabelle pare facut mai degrabă pentru a arata abilitățile dezvoltatorului,  decât pentru a genera plăți de răscumpărare.

Sursa: https://www.bleepingcomputer.com/news/security/the-annabelle-ransomware-is-a-horrific-mess/