Mentre la maggior parte dei ransomware viene creata per generare effettivamente entrate derivanti dal riscatto, altri malware vengono creati da sviluppatori che vogliono solo dimostrare le loro “abilità”. Questo è il caso di un nuovo ransomware basato sul franchise del film horror Annabelle.
Scoperto dal ricercatore di sicurezza Bart, Annabelle Ransomware include tutto dalla chiusura di numerosi programmi di sicurezza, alla disattivazione di Windows Defender e al firewall, crittografia dei file, tentativo di diffondersi tramite unità USB, sovrascrive il record di avvio principale del computer infettato.
Prontamente, il Team di MalwareHunter ha estratto il codice sorgente dall’eseguibile offuscato in modo da poter dare un’occhiata migliore a ciò che questo programma esegue.
Annabelle si configura automaticamente all’avvio di Windows. Successivamente termina una serie di programmi come Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome e altro.
Quindi configura le voci di registro di Image File Execution per far sì che non sia possibile avviare una varietà di programmi come quelli elencati sopra e altri come Notepad ++, Blocco note, Internet Explorer, Chrome, Opera, bcdedit e molti altri.
Il ransomware tenterà quindi di diffondersi utilizzando i file autoru.inf. Metodo abbastanza inutile quando si tratta di versioni più recenti di Windows che non supportano una funzione di riproduzione automatica.
Dopo questa fase iniziale il ransomware inizierà a crittografare il computer con una chiave statica. Durante la crittografia dei file, l’estensione .ANNABELLE verrà aggiunta al nome del file crittografato.