Bomber Code

Haciendo un poco de testing me encontré con esta pieza bastante interesante y divertida. Se llama Annabelle Ransomware.

A partir de su ejecución este Ransomware lanza unos comandos básicos para desactivar navegadores, msconfig, task manager y otros programas útiles. Se auto añade al inicio del sistema operativo y renombra .Annabelle todos los archivos. Luego del reinicio vemos el lockscreen fijado en la imagen. Algo interesante es que ofrece una forma de comunicarse con el creador... por Discord.

Asimismo, el programa modifica y reemplaza el MBR del sistema. Como parte de su trabajo, desactiva el Windows Defender (donde están los fans del "no uso antivirus con el que viene con Windows me sobra"), el Windows Firewall, e intenta esparcirse mediante USB.

Lo único bueno, según ví por ahí, es que es fácil de desencriptar Aún no esto seguro pero es muy probable que se envíe mediante correo electrónico en forma de script (.vbs).

Otro punto a favor de los anti ejecutables como programa de seguridad para Windows. (Ej Voodooshield)


Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.