Se raspandeste un nou ransomware numit Annabelle.
Ce face ?
Dupa infectare, Annabelle se va configura să pornească automat la pornirea calculatorului. In urmatoarea etapa blocheaza pornirea unor programe care l-ar putea detecta si opri, cum ar fi : programele antivirus, Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome samd. Folosind scrierea in registrii Windows configureaza setarile (Image File Execution) si dezactiveaza executia programelor de mai sus si a altor programe ( Notepad ++, Notepad, Internet Explorer, Chrome, Opera, bcdedit si multe altele) .
Apoi ransomware-ul Annabelle încerca să se răspândească folosind fișierele autoru.inf. Această metodă nu functioneaza in versiunile noi de Windows deoarece acestea nu acceptă caracteristica de redare automată. Apoi va începe criptarea calculatorului cu o cheie statică, iar fișierele criptate vor primi extensia .ANNABELLE
Dupa criptare PC-ul va reporni si dupa conectare Annabelle va afișa ecranul de blocare afișat în partea de sus a acestui articol. Ecranul de blocare are un buton de credite care atunci cand este apasat rescrie sectorul de boot al HDD-ului si va afisa un ecran de blocare MBR.
Din fericire Annabelle are la baza Stupid Ransomware și este usor de inlaturat. Deoarece Annabelle foloseste pentru criptare o cheie statică, Michael Gillespie a reusit să-și actualizeze programul StupidDecryptor pentru a decripta această variantă.
Remedierea problemelor cauzate de Annabelle se poate face folosind Rkill pentru curatare MBR si registrii si decryptorul lui Michael pentru a decripta fișierele afectate.
Annabelle pare facut mai degrabă pentru a arata abilitățile dezvoltatorului, decât pentru a genera plăți de răscumpărare.
Sursa: https://www.bleepingcomputer.com/news/security/the-annabelle-ransomware-is-a-horrific-mess/