Embora a maioria dos Ransomwares sejam criados para gerar receita. Alguns desenvolvedores os criam para mostrar suas “habilidades”. Tal é o caso de um novo ransomware baseado na franquia de filmes de terror Annabelle.

Descoberto por pesquisadores de segurança, Annabelle Ransomware inclui de tudo. Isso inclui o encerramento de vários programas de segurança, desativando o Windows Defender, desabilitando o firewall, criptografando seus arquivos, tentando se espalhar por unidades USB, além disso não permitindo você executar uma variedade de programas e, em seguida, ele sobrescreve o registro de boot do computador infectado.

Quando executado pela primeira vez, Annabelle se configurará para iniciar automaticamente quando você entrar no Windows. Ele então encerra uma variedade de programas, como Process Hacker, Process Explorer, Msconfig, Gerenciador de tarefas, Chrome e muito mais.

Em seguida, configura as entradas de registro de execução de arquivos (regedit), para fazer com que você não possa iniciar uma variedade de programas, como os listados acima e outros como Notepad ++, Bloco de notas, Internet Explorer, Chrome, Opera, bcdedit e muitos mais.

O ransomware então tentará se espalhar usando arquivos autorun.inf. Este método é bastante inútil quando se trata de versões mais recentes do Windows que não suportam um recurso de reprodução automática.

Autorun.inf Spreading

Bem, após que tudo isso for concluído, ele começará a criptografar o computador com uma static key. Ao criptografar arquivos, ele anexará a extensão .ANNABELLE ao nome do arquivo criptografado.

Encrypted files

Ele reiniciará o computador e, quando o usuário efetuar o login, exibirá a tela de bloqueio mostrada na parte superior deste artigo. A tela de bloqueio possui um botão de crédito que, ao clicar, mostra a tela abaixo que indica que um desenvolvedor chamado iCoreX0812 fez o programa e uma maneira de contatá-lo é através do Discord.

Credits Screen

Como toque final, o desenvolvedor decidiu também executar um programa que substitua o arquivo de boot do computador infectado para que ele mostre uma tela de “adereços”, quando o computador for reiniciado.

MBR Lock Screen

No geral, este ransomware foi desenvolvido para mostrar as habilidades do desenvolvedor, ao invés de realmente gerar pagamentos de resgate.

A boa notícia é que este Ransomware é baseado em Stupid Ransomware e é muito fácil de descriptografar. Como ele usa uma static key, pesquisadores de segurança foram capaz de atualizar seu StupidDecryptor para descriptografar esta variante.

Associated Files:

Copter.flv.exe
 MBRiCoreX.exe

Referências:

https://www.bleepingcomputer.com/news/security/the-annabelle-ransomware-is-a-horrific-mess/

https://www.scmagazine.com/annabelle-ransomware-a-horror-show-for-users/article/746141/

http://br.ccm.net/news/30368-novo-ransomware-annabelle-ataca