Allerta nuovo ransomware ANNABELLE

Mentre la maggior parte dei ransomware viene creata per generare effettivamente entrate derivanti dal riscatto, altri malware vengono creati da sviluppatori che vogliono solo dimostrare le loro “abilità”. Questo è il caso di un nuovo ransomware basato sul franchise del film horror Annabelle.
Scoperto dal ricercatore di sicurezza Bart, Annabelle Ransomware include tutto dalla chiusura di numerosi programmi di sicurezza, alla disattivazione di Windows Defender e al firewall, crittografia dei file, tentativo di diffondersi tramite unità USB, sovrascrive il record di avvio principale del computer infettato.
Prontamente, il Team di MalwareHunter ha estratto il codice sorgente dall’eseguibile offuscato in modo da poter dare un’occhiata migliore a ciò che questo programma esegue.
Annabelle si configura automaticamente all’avvio di Windows. Successivamente termina una serie di programmi come Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome e altro.
Quindi configura le voci di registro di Image File Execution per far sì che non sia possibile avviare una varietà di programmi come quelli elencati sopra e altri come Notepad ++, Blocco note, Internet Explorer, Chrome, Opera, bcdedit e molti altri.
Il ransomware tenterà quindi di diffondersi utilizzando i file autoru.inf. Metodo abbastanza inutile quando si tratta di versioni più recenti di Windows che non supportano una funzione di riproduzione automatica.
Dopo questa fase iniziale il ransomware inizierà a crittografare il computer con una chiave statica. Durante la crittografia dei file, l’estensione .ANNABELLE verrà aggiunta al nome del file crittografato.

Nella fase finale il pc si riavvierà  e quando l’utente si ricollega, visualizzerà la schermata di blocco di seguito.
La schermata di blocco ha un pulsante crediti che quando viene cliccato mostrerà la schermata che indica che uno sviluppatore chiamato iCoreX0812 ha creato il programma e un modo per contattarlo su Discord.
La buona notizia è che questo ransomware è basato su Stupid Ransomware ed è facilmente decifrabile. Poiché utilizza una chiave statica, Michael Gillespie è stato in grado di aggiornare il suo StupidDecryptor per decodificare questa variante.


Print Friendly, PDF & Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.