Conheça o novo Ransomware Annabelle, o vírus que desabilita todas proteções do seu PC

Embora muitos ransomwares visem apenas o lucro de seus criadores, outros também servem para demonstrar suas “habilidades”. Este é o caso do ransomware Annabelle, que teve seu nome inspirado no do filme de terror sobre uma boneca com o mesmo nome e que foi possuída por um demônio.

 

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.

Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor. E é claro, o famoso “Wannacry”, que teve destaque no ultimo ano devido a uma grande onda de infecções em escala global.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.

Acesse o portal clicando aqui.

 

Ransomware Annabelle

Descoberto pelo pesquisador de segurança Bart, o ransomware Annabelle inclui várias funções para “ferrar” com o computador do usuário.

Por exemplo, ele pode desativar softwares de segurança instalados, pode desativar o Windows Defender, pode desativar o Firewall do Windows, pode criptografar os arquivos do usuário, pode se espalhar via dispositivos de armazenamento USB e pode até mesmo sobrescrever o setor mestre de inicialização (MBR) do computador para que ele exiba um bootloader personalizado.

Quando executado pela primeira vez, o ransomware Annabelle será configurado para ser inicializado quando o usuário se logar no Windows. E seguia ele desativará uma grande variedade de programas caso eles estejam presentes, incluindo o Process Hacker, Process Explorer, Msconfig, Task Manager, Google Chrome e outros.

Ele também configurará suas entradas no Registro do Windows para se certificar de que o usuário não possa iniciar os programas mencionados acima e muitos outros como Notepad++, Notepad, Internet Explorer, Opera e bcdedit.

Feito isso, o ransomware então tentará se espalhar usando arquivos autorun.inf. Este método é meio inútil quando se trata das versões mais recentes do Windows, que já não suportam a reprodução automática.

Depois disso, o ransomware Annabelle começará a criptografar os arquivos com uma chave estática. Os arquivos criptografados aparecerão com a extensão .ANNABELLE.

Depois de criptografar os arquivos, ele reinicializará o computador e quando o usuário fizer o login será exibida a imagem abaixo:

 

 

O botão Credits exibido na tela cita o desenvolvedor iCoreX0812 como seu criador e também exibe uma forma de entrar em contato com ele via Discord.

A boa notícia é que o Annabelle é baseado no ransomware Stupid e por isso é bem mais fácil recuperar os arquivos criptografados por ele.

Como o ransomware usa uma chave estática, Michael Gillespie foi capaz de atualizar seu StupidDecryptor para que ele possa ser usado para recuperar os arquivos criptografados pelo Annabelle.

Opine

comentários

Leia também

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.