Новый Windows-вымогатель, названный в честь фильма ужасов Annabelle (“Проклятие Аннабель” в российском прокате), имеет на борту целый набор зловредных возможностей — от шифрования файлов до вмешательства в работу загрузчика ОС (Master boot record). Эксперты ИБ склоняются к мнению, что создатели трояна стремились не заработать на выкупе, а похвастаться своими умениями.

Помимо шифрования документов в список функций Annabelle входит блокировка множества систем безопасности и служб Windows, отключение встроенного “Защитника Windows” и файрвола, распространение через USB-накопители. Вымогатель также заменяет экран загрузки ОС на картинку с контактами своего создателя и несколькими словами признательности неизвестным “коллегам” за вдохновение и идеи.

Когда троян оказывается на компьютере, он первым делом прописывается на автозапуск в системном реестре. Далее Annabelle завершает процессы, которые могут ему помешать — например, “Диспетчер задач”, msconfig, Process Hacker (бесплатная open source утилита для мониторинга запущенных процессов и служб). Зловред также блокирует работу “Блокнота”, популярных интернет-браузеров и прочих прикладных программ.

Далее вымогатель пытается добавить себя в список автоматической загрузки (autorun.inf), чтобы запускаться при открытии любых файлов. Эта функция отключена в новых версиях Windows, что, впрочем, не мешает Annabelle перейти к шифрованию содержимого жесткого диска. Атаке подвергаются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, образы дисков и архивы. По окончании процесса зловред перезагружает компьютер и демонстрирует пользователю сообщение с требованием выкупа. Разблокировка стоит 0,1 BTC – около 55 тысяч рублей на момент публикации.

Специалисты ИБ смогли подобрать ключ для расшифровки файлов. Чтобы избавиться от Annabelle, необходимо загрузить компьютер в безопасном режиме, почистить реестр от следов зловреда и запустить декриптор. Далее нужно провести полную проверку с помощью антивирусного ПО. Стоит отметить, что качественный защитный продукт изначально не допускает шифровальщики к пользовательской машине.

В 2016 году “Лаборатория Касперского” совместно с Европолом, Intel Security и полицией Нидерландов запустила проект No More Ransom, который помогает жертвам вымогателей вернуть свои файлы. На портале собраны средства расшифровки, которые работают против более чем 80 различных зловредных семейств. К февралю 2018 года сервисом воспользовались почти 1,6 миллиона пользователей из 180 стран.

Категории: Аналитика, Вредоносные программы