Embora muitos ransomwares visem apenas o lucro de seus criadores, outros também servem para demonstrar suas “habilidades”. Este é o caso do ransomware Annabelle, que teve seu nome inspirado no do filme de terror sobre uma boneca com o mesmo nome e que foi possuída por um demônio.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor. E é claro, o famoso “Wannacry”, que teve destaque no ultimo ano devido a uma grande onda de infecções em escala global.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab e a Intel Security.
Acesse o portal clicando aqui.
Ransomware Annabelle
Descoberto pelo pesquisador de segurança Bart, o ransomware Annabelle inclui várias funções para “ferrar” com o computador do usuário.
Por exemplo, ele pode desativar softwares de segurança instalados, pode desativar o Windows Defender, pode desativar o Firewall do Windows, pode criptografar os arquivos do usuário, pode se espalhar via dispositivos de armazenamento USB e pode até mesmo sobrescrever o setor mestre de inicialização (MBR) do computador para que ele exiba um bootloader personalizado.
Quando executado pela primeira vez, o ransomware Annabelle será configurado para ser inicializado quando o usuário se logar no Windows. E seguia ele desativará uma grande variedade de programas caso eles estejam presentes, incluindo o Process Hacker, Process Explorer, Msconfig, Task Manager, Google Chrome e outros.
Ele também configurará suas entradas no Registro do Windows para se certificar de que o usuário não possa iniciar os programas mencionados acima e muitos outros como Notepad++, Notepad, Internet Explorer, Opera e bcdedit.
Feito isso, o ransomware então tentará se espalhar usando arquivos autorun.inf. Este método é meio inútil quando se trata das versões mais recentes do Windows, que já não suportam a reprodução automática.
Depois disso, o ransomware Annabelle começará a criptografar os arquivos com uma chave estática. Os arquivos criptografados aparecerão com a extensão .ANNABELLE.
Depois de criptografar os arquivos, ele reinicializará o computador e quando o usuário fizer o login será exibida a imagem abaixo:
O botão Credits exibido na tela cita o desenvolvedor iCoreX0812 como seu criador e também exibe uma forma de entrar em contato com ele via Discord.
A boa notícia é que o Annabelle é baseado no ransomware Stupid e por isso é bem mais fácil recuperar os arquivos criptografados por ele.
Como o ransomware usa uma chave estática, Michael Gillespie foi capaz de atualizar seu StupidDecryptor para que ele possa ser usado para recuperar os arquivos criptografados pelo Annabelle.