Annabelle Ransomware
(шифровальщик-вымогатель, MBR-модификатор)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES256 (режим CBC) с жёстко запрограммированным ключом и вектором инициализации, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Annabelle. На файле написано: Annabelle.exe и UpdateBackup.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: Stupid / FTSCoder >> Annabelle > Annabelle NextGen
Этимология названия:
Разработчик использовал куклу Annabelle из одноимённой кино-франшизы (фильм-ужасов, производство США).
К зашифрованным файлам добавляется расширение .ANNABELLE
Образец этого крипто-вымогателя был найден во второй половине февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание текста о выкупе:
Your Personal ID: HIuMVtQbk
Frequently Asked Questions
What happened to my files?
All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key.
How can I get my personal key?
Well you need to pay for it. You need to visit one of the special site below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins.
Darknet Site: xxxx://annabelle85x9tbxiyki.onion/tbxlyki
Darknet Site: xxxx://annabelle59j3mbtyyki.onion/mbtyyki
How can I get access to the site?
You easily need to download the Torbrowser, you can get it from this site:
xxxxs://www.torproiect.org/
What is goin to happen if I'm not going to pay?
If you are not going to pay, then the countdown will easily ran out and then your system will be broken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it.
I got the key, what should I do now?
Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program.
- The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks
If you wanna chat with me, contact me easily in discord: iCoreX#1337
Перевод текста на русский язык:
Ваш личный ID: HIuMVtQbk
Часто задаваемые вопросы
Что случилось с моими файлами?
Все ваши файлы зашифрованы и защищены сильным ключом. Нет способа вернуть их без вашего личного ключа.
Как я могу получить свой личный ключ?
Вам нужно заплатить за это. Вам нужно посетить один из специальных сайтов ниже, а затем вам нужно ввести свой личный ID (вы найдете его сверху) и купить его. На самом деле он стоит ровно 0,1 биткойнов.
Даркнет Сайт: xxxx://annabelle85x9tbxiyki.onion/tbxlyki
Даркнет Сайт: xxxx://annabelle59j3mbtyyki.onion/mbtyyki
Как я могу получить доступ к сайту?
Вам просто нужно скачать Tor-browser, можете получить его с этого сайта:
xxxxs://www.torproiect.org/
Что произойдет, если я не буду платить?
Если вы не собираетесь платить, тогда обратный отсчет просто закончится, а затем ваша система будет сломана. Если вы сделаете перезапуск, то обратный отсчёт пойдет намного быстрее. Итак, это не очень хорошая идея.
Я получил ключ, что мне теперь делать?
Теперь вам нужно ввести свой личный ключ в текстовое поле ниже. Затем вы получите доступ к программе дешифрования.
- Даркнет-сайты не существуют, это всего лишь пример текста. Другие вещи справа, кроме даркнет. Его можно получить ключом, но если я соберусь сделать новый троянец или новую версию этого, я добавлю реальные способы получить ключ :) Если вы хотите, чтобы я сделал 2.0 или новый троянец, тогда напишите это ниже в комментариях. Спасибо.
Если вы хотите пообщаться со мной, свяжитесь со мной легко в discord: iCoreX # 1337
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует сервис myip.dnsomatic.com для определения IP компьютера жертвы.
➤ Завершает работу Msconfig, Диспетчер задач, браузеров, утилит Process Hacker, Process Explorer и т.д.
➤ Использует IFEO для отключения запуска множества приложений (Notepad, Internet Explorer, Edge, Chrome, Opera, Firefox, bcdedit и др.) и запуска собственных.
➤ Заменяет Userinit.
➤ Пытается распространяться через съёмные накопители с помощью файлов autorun.inf.
➤ Пытается запугать жертву визуально и текстами.
➤ Удаляет теневые копии файлов командой:
vssadmin delete shadows /all /quiet
➤ Использует shutdown.exe для перезагрузки ПК с командой
"C:\Windows\System32\shutdown.exe" -r -t 00 -f
➤ До перезагрузки ещё выводит следующее сообщение:
Содержание текста:
Warning! Do you got .NET Framework'4.5' (not 4.0)? If you are not running it with .NET Framework'4.5' then the TROJAN wont work! If you got .NET Framework '4.5' then press on 'yes' if not then on 'no'!
Перевод текста на русский язык:
Предупреждение! У вас есть .NET Framework'4.5' (не 4.0)? Если вы запустили это без .NET Framework'4.5', то ТРОЯН не сработает! Если у вас есть .NET Framework '4.5', жмите 'yes', если нет, то 'no'!
➤ После перезагрузки вывод экран блокировки с таймером и IP-адресом. Таймер отсчитывает время в секундах, через некоторое время появляются другие элементы на экране.
➤ Если таймер досчитает до конца, то вызывается BSOD, а затем модифицирует MBR, чтобы показать следующий экран.
Список файловых расширений, подвергающихся шифрованию:
.jpg, .lnk, .png, .rtf,
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
nbnbnbnbnbnb.exe (Annabelle.exe)
<random>.exe - случайное название
autorun.inf
Copter.flv.exe
MBRiCoreX.exe
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://myip.dnsomatic.com/
xxxx://annabelle85x9tbxiyki.onion/tbxlyki
xxxx://annabelle59j3mbtyyki.onion/mbtyyki
См. ниже результаты анализов.
Результаты анализов:
ANY.RUN анализ и обзор >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Read to links:
Tweet on Twitter + Tweet
ID Ransomware (ID as Stupid Ransomware)
Write-up, Topic of Support
*
Thanks:
Bart
Michael Gillespie
Lawrence Abrams
*
© Amigo-A (Andrew Ivanov): All blog articles.