Xuất hiện ransomware Annabelle với khả năng qua mặt các chương trình bảo mật để mã hóa dữ liệu người dùng

Hai lỗ hổng bảo mật Spectre và Meltdown đã liên tục gieo rắc nỗi ám ảnh kinh hoàng cho người dùng công nghệ trong nhiều tháng qua. Điều đó khiến họ quên rằng vẫn còn rất nhiều phần mềm, ứng dụng độc hại khác có thể đe dọa trực tiếp đến thiết bị của họ, trong đó bao gồm cả ransomware.

Mới đây, một chuyên viên nghiên cứu bảo mật đã sử dụng tài khoản Twitter có tên “Bart” để thông báo về một loại phần mềm tống tiền mới: Annabelle Ransomware, với mức độ nguy hiểm thậm chí còn cao hơn cơn ác mộng WannaCry trước đây.

Ransomware đã quay trở lại với một "quân bài" mới mang tên Annabelle.

Được biết, phương thức tấn công của loại ransomware này khá phức tạp và đáng ngờ. Nó sẽ bắt đầu hoạt động ngay khi hệ điều hành khởi động và sử dụng một bootloader để viết đè lên Master Boot Record (khu vực lưu trữ thông tin về phân vùng ổ đĩa) của thiết bị nạn nhân.

Sau khi thiết bị được khởi động, Annabelle Ransomware sẽ thực hiện các tác vụ sau để tự tích hợp và phát tán vào hệ thống:

- Vô hiệu hóa các chương trình bảo mật

- Vô hiệu hóa tính năng Windows Defender

- Tắt tính năng Firewall Protection

- Mã hóa dữ liệu người dùng

- Lây nhiễm qua các cổng USB

- Khởi động nhiều chương trình khác nhau

Đội ngũ MalwareHunter đã nhanh chóng nghiên cứu đoạn mã nguồn của Annabelle Ransomware và phát hiện ra loại phần mềm độc hại này sẽ tự động hoạt động ngay khi người dùng vừa đăng nhập vào máy tính. Sau đó, nó sẽ ngăn rất nhiều chương trình như Process Hackers, Process Explorer, MSConfig, Task Manager, Chrome can thiệp vào quá trình mã hóa dữ liệu.

Annabelle Ransomware sẽ hoạt động ngay khi nạn nhân khởi động hệ điều hành trên thiết bị.

Bên cạnh đó, loại ransomware này còn có khả năng chỉnh sửa các file khác nhau cũng như vô hiệu một số chương trình như Notepad, Notepad , Internet Explorer, Chrome, bcdedit,...

Ngoài ra, Annabelle Ransomware còn có thể phát tán thông qua các file Autorun.inf, nhưng hiệu quả mang lại không cao bởi phiên bản cập nhật mới nhất của Windows 10 không hỗ trợ loại file này. Tuy nhiên, điều này cũng không đảm bảo an toàn tuyệt đối cho hệ điều hành của người dùng.

Đây chính là dữ liệu của người dùng sau khi bị Annabelle Ransomware mã hóa.

Sau khi mã hóa dữ liệu thành công, loại ransomware này sẽ yêu cầu nạn nhân trả 0.1 Bitcoin cho hacker trước khi thời gian kết thúc. Ngoài ra, người dùng phải tiến hành thanh toán qua darknet - mạng của các trang web không thể truy cập từ các trình duyệt hay cách thức thông thường.

Theo MSpoweruser