Recentemente, há menos de uma semana (19/02) foi relatado pela primeira vez a aparição de um novo trojan conhecido como “Annabelle Ransomware”. Este trojan, de criptografia avançada (incluindo criptografia de MBR) aparentemente é baseado em outras versões de ransomwares como Haters e FTSCoder.
Desta familia de trojans (FTSCoder) são conhecidos algumas variantes como “NIBIRU Ransomware” e “Eternity Ransomware”.
Na nota de resgate do trojan, há uma descrição sobre a Boneca e por isto o trojan foi nomeado como “Annabelle”. O criador do malware utilizou imagens do filme de terror em suas notas e apresentação do virus.
A infecção ocorre da mesma maneira que as variantes anteriores: arquivos maliciosos (suspeitos) recebidos por e-mail, compartilhado por meios eletronicos, ataque de força bruta nos servidores de arquivos.
O ransomware Annabelle foi projetado para verificar unidades de armazenamento de dados onde possuem fotos, músicas, vídeos, bancos de dados, documentos de escritório e livros eletrônicos.
As “Shadow Copies” feitas pelo Windows são excluídas pelo Trojan e as versões originais de seus arquivos são apagadas do armazenamento de memória. Os arquivos são cifrados e adicionados o sufixo ‘.ANNABELLE’ aos seus nomes.
Um arquivo “Texto.txt”, por exemplo é renomeado para ‘Texto.txt.ANNABELLE’ e uma janela de programa se abre com a mensagem de resgate na área de trabalho do computador afetado.
Diferentemente das demais ameaças do tipo, este tipo de trojan desabilita as ferramentas internas do sistema, modifica chaves de registro do Windows, modifica o gerenciador de inicialização, a ferramenta da Linha de Comando e o Gerenciador de Tarefas agendado.
O Ransomware Annabelle altera também o registro MBR no disco do sistema primário.
De acordo com analistas de segurança, o Annabelle Ransomware é executado no reinício do sistema e pode ser executado no modo de segurança no Windows. Este é um dos poucos trojans de criptografia que fazem um esforço para permanecer no sistema e evitar que os usuários tentem uma operação de limpeza.
A nota de resgate inclui o seguinte texto:
“Your Personal ID: [9 random chars]
Frequently Asked Questions
What happened to my files?
All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key.
How can I get my personal key?
Well you need to pay for it. You need to visit one of the special site below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins.
Darknet Site: xxxx://annabelle85x9tbxiyki.onion/tbxlyki
Darknet Site: xxxx://annabelle59j3mbtyyki.onion/mbtyyki
How can I get access to the site?
You easily need to download the Torbrowser, you can get it from this site:
xxxxs://www.torproiect.org
What is goin to happen if I’m not going to pay?
If you are not going to pay, then the countdown will easily ran out and then your system will be broken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it.
I got the key, what should I do now?
Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program.’”
Os autores são conhecidos por exigir o pagamento de 0,1 Bitcoin (1020 USD / 830 EUR) para o endereço da carteira para que eles liberem um decifrador.
Alguns nomes de detecção para os objetos criados pela Annabelle Ransomware:
- Artemis!0F743287C991
- Ransom_LEBANA.THBBBAH
- Trojan ( 0050102a1 )
- Trojan.GenericKD.40139432
- Trojan.Win64.Deshacop.eyffau
- a variant of MSIL/Filecoder.DP
- malicious_confidence_90% (W)
Para manter um ambiente mais seguro, sugerimos sempre algumas ações de verificação no ambiente:
- Após a instalação do software de proteção, (o Kaspersky Endpoint Security da Kaspersky por exemplo), configure uma senha forte para desinstalação do mesmo;
- Atualize sempre seus produtos para as últimas versões e instale os updates sugeridos pelos fabricantes;
- Utilize versões corretas de produtos. Ex.: Software especifico para servidor e para desktop;
- Garanta que seu ambiente esteja com a base de antivírus 100% atualizada;
- Se possível for, utilize o conceito de “Default Deny” em seu ambiente para garantir que somente aplicativos permitidos sejam executados;
- Mantenha sempre uma cópia de segurança dos dados críticos da empresa (internamente e extenramente).