在过去几年中,我们已经看到一系列勒索软件在互联网上发挥作用。奇怪的是,这还包括一个勒索软件伪造加密文件并拉扯虚张声势的勒索软件。虽然大多数勒索软件的目的是赚钱,但其中一些人却不同意。最新的一个是恐怖电影专营权的一个相当残酷的衍生品,它是Annabelle勒索软件。
Annabelle勒索软件
被称为安娜贝尔的勒索软件是由安全研究员巴特发现的。安娜贝尔与通常的勒索软件有点相同,但它的目的是展示开发人员的技能,而不是为了赚钱。安装后,Ransomware会禁用Windows Defender,关闭防火墙,加密文件,然后尝试通过USB驱动器进行传播。同时,Ransomware会覆盖受感染计算机的主启动记录,并将其替换为启动加载程序。
配置完成后,Annabelle将确保它终止了一系列程序,如Process Hacker,Process Explorer,Msconfig,Task Manager和Chrome。在下一步中,勒索软件配置Image File Execution注册表,以便其他程序(如Notepad ++,Notepad,Internet Explorer等)无法打开。但是,对于不支持自动播放功能的较新版本的Windows,此方法会失败。
最后,Annabelle勒索软件将开始使用静态密钥加密计算机,并且所有文件都将附加到.ANNABELLE扩展名。现在系统将重新启动,然后用户将看到如上所示的锁定屏幕。开发人员假定iCoreXo812的伪名称,并详细说明了在Discord上与他联系的方法。此外,为了展示他/她的技能,开发人员在道具屏幕和被感染计算机的主启动记录中提到了自己。自Annabelle Ransomware使用Stupid Ransomware以来,更明亮的一面,这可以通过使用Stupid Decryptor解密。