Novo ramsonware Annabelle é capaz de sequestrar até a BIOS do seu computador
Os ramsonwares — vírus que sequestram a máquina da vítima e apenas libera o acesso caso seja feito o pagamento de um resgate — já viraram uma febre no mundo do cibercrime. Contudo, um novo malware desse gênero, recentemente descoberto pelo pesquisador Bart Blaze, não foi projetado para fins lucrativos. Batizado de Annabelle (em referência ao filme de terror homônimo), o script parece ter sido criado para simplesmente demonstrar as habilidades técnicas de seu criador.
Ao infectar seu computador, o Annabelle se auto-configura para iniciar junto com o Windows e passa a encerrar processos importantes, incluindo o Msconfig e o Gerenciador de Tarefas. Em seguida, ele desabilita qualquer programa que possa atrapalhar seu funcionamento, como antivírus, firewalls e o próprio Windows Defender. Não satisfeito, o ramsonware criptografa todos os arquivos presentes no HD e tenta se espalhar através de pendrives ou discos rígidos que porventura estejam conectados nas portas USB do PC.
Por fim, o vírus também altera a BIOS do computador e passa a exibir imagens perturbadoras retiradas do longa-metragem supracitado. As instruções de desbloqueio orientam a vítima a transferir 0,1 bitcoins (o que atualmente equivale a, mais ou menos, R$ 3,3 mil) para obter sua chave pessoal, que será usada para descriptografar o sistema. O cibercriminoso é tão valente que até mesmo fornece seu apelido (iCoreX#1337) e fornece dados de contato através da plataforma Discord.
Um ransomware "estúpido"
Felizmente, o Annabelle é baseado em um "kit vírus" conhecido como Stupid Ransomware, cujos pontos fracos são bem conhecidos pela comunidade de pesquisadores de cibersegurança. Sendo assim, é fácil se livrar dele com as ferramentas apropriadas. O especialista Michael Gillespie conseguiu gerar um software feito para quebrar a criptografia do malware, que utiliza chaves estáticas em vez de dinâmicas.
Thanks to analysis by @malwrhunterteam, we found this is just Stupid / FTSCoder #Ransomware at its core. Already updated decrypter to handle it. Does have more to it with the MBR overwrite and such though, plus its x64. https://t.co/KyGip7INN0 https://t.co/YPsWI45w7K
— Michael Gillespie (@demonslay335) February 21, 2018
Sendo assim, caso seja afetado pelo vírus, basta substituir o Master Boot Record (MBR), usar o software RKill em modo de segurança para limpar os registros infectados e fazer algumas varreduras tradicionais para eliminar vestígios do script.
Canaltech
