Annabelle Ransomware
Mientras que la mayoría del ransomware se crea para generar ingresos, algunos desarrolladores los crean para mostrar sus habilidades. Tal es el caso de un nuevo ransomware basado en la franquicia de películas de terror Annabelle.
Descubierto por el investigador de seguridad Bart, Annabelle Ransomware incluye todo menos el fregadero de la cocina cuando se trata de atornillar una computadora. Esto incluye terminar numerosos programas de seguridad, deshabilita Windows Defender, apagar el firewall, encriptar sus archivos, tratar de propagar a través de unidades USB, hacerlo para que no pueda ejecutar una variedad de programas, y luego endulzar el bote, sobrescribe el registro maestro de arranque de la computadora infectada con un cargador de arranque tonto.
Afortunadamente, MalwareHunterTeam fue capaz de extraer el código fuente del ejecutable ofuscado para que podamos tener una mejor idea de lo que está haciendo este programa.
Cuando se ejecute por primera vez, Annabelle se configurará para iniciarse automáticamente cuando inicie sesión en Windows. Luego finaliza una variedad de programas como Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome y más.
A continuación, configura las entradas de registro de Ejecución de archivos de imagen para que no pueda iniciar una variedad de programas como los enumerados anteriormente y otros como Notepad ++, Bloc de notas, Internet Explorer, Chrome, Opera, bcdedit y muchos más.
El ransomware intentará expandirse a sí mismo utilizando archivos autoru.inf. Este método es bastante inútil cuando se trata de versiones más nuevas de Windows que no admiten una función de reproducción automática.
Bien hecho todo esto, comenzará a encriptar la computadora con una clave estática. Al encriptar archivos, agregará la extensión .ANNABELLE al nombre del archivo encriptado.
Luego reiniciará la computadora y cuando el usuario inicie sesión, se mostrará la pantalla de bloqueo que se muestra en la parte superior de este artículo. La pantalla de bloqueo tiene un botón de créditos que, al hacer clic, muestra la pantalla a continuación que indica que un desarrollador llamado iCoreX0812 creó el programa y una forma de contactarlos en Discord.
Como toque final, el desarrollador decidió ejecutar también un programa que reemplaza el registro de inicio maestro de la computadora infectada para que muestre una pantalla de "accesorios" cuando la computadora se reinicia.
En general, este ransomware fue desarrollador para ser un PITA y para mostrar las habilidades del desarrollador en lugar de generar realmente pagos de rescate.
La buena noticia es que este ransomware se basa en Stupid Ransomware y es fácilmente descifrable. Como utiliza una clave estática, Michael Gillespie pudo actualizar su StupidDecryptor para descifrar esta variante.
Al reemplazar el MBR, ejecutar Rkill en modo seguro para limpiar las entradas de registro de IFEO, usar el descifrador de Michael para descifrar los archivos y luego algunos escaneos de seguridad para eliminar los remanentes, debería poder hacer que su computadora vuelva a la normalidad.