bannerrootday

Novo ramsonware Annabelle é capaz de sequestrar até a BIOS do seu computador



Os ramsonwares — vírus que sequestram a máquina da vítima e apenas libera o acesso caso seja feito o pagamento de um resgate — já viraram uma febre no mundo do cibercrime. Contudo, um novo malware desse gênero, recentemente descoberto pelo pesquisador Bart Blaze, não foi projetado para fins lucrativos. Batizado de Annabelle (em referência ao filme de terror homônimo), o script parece ter sido criado para simplesmente demonstrar as habilidades técnicas de seu criador.

Ao infectar seu computador, o Annabelle se auto-configura para iniciar junto com o Windows e passa a encerrar processos importantes, incluindo o Msconfig e o Gerenciador de Tarefas. Em seguida, ele desabilita qualquer programa que possa atrapalhar seu funcionamento, como antivírus, firewalls e o próprio Windows Defender. Não satisfeito, o ramsonware criptografa todos os arquivos presentes no HD e tenta se espalhar através de pendrives ou discos rígidos que porventura estejam conectados nas portas USB do PC.

Por fim, o vírus também altera a BIOS do computador e passa a exibir imagens perturbadoras retiradas do longa-metragem supracitado. As instruções de desbloqueio orientam a vítima a transferir 0,1 bitcoins (o que atualmente equivale a, mais ou menos, R$ 3,3 mil) para obter sua chave pessoal, que será usada para descriptografar o sistema. O cibercriminoso é tão valente que até mesmo fornece seu apelido (iCoreX#1337) e fornece dados de contato através da plataforma Discord.

Um ransomware "estúpido"
Felizmente, o Annabelle é baseado em um "kit vírus" conhecido como Stupid Ransomware, cujos pontos fracos são bem conhecidos pela comunidade de pesquisadores de cibersegurança. Sendo assim, é fácil se livrar dele com as ferramentas apropriadas. O especialista Michael Gillespie conseguiu gerar um software feito para quebrar a criptografia do malware, que utiliza chaves estáticas em vez de dinâmicas.

Sendo assim, caso seja afetado pelo vírus, basta substituir o Master Boot Record (MBR), usar o software RKill em modo de segurança para limpar os registros infectados e fazer algumas varreduras tradicionais para eliminar vestígios do script.


Fonte: Canaltech

Comentários

Postagens mais visitadas deste blog

Aprenda mais sobre segurança da Informação no evento Worksec

CANAL NO TELEGRAM

SanDisk lança cartão microSD de 400 GB para celulares na MWC 2018