Anatova – nowy ransomware omijający WNP

Anatova to nowa rodzina ransomware znaleziona w prywatnej sieci p2p. Najwięcej infekcji zaobserwowano w USA, Belgii, Niemczech i Francji. Jej dokładniejszą analizę przeprowadził McAfee (i tam odsyłam wszystkich żądnych technicznych detali), warto jednak zwrócić uwagę na kilka ciekawostek związanych z tym szkodnikiem.

Przede wszystkim – Anatova wygląda na twór zdolnych programistów. Po usunięciu dodatków, kod ma 32 kilobajty – i dość zgrabnie próbuje się chronić przed analizą. Jawnie używa wyłącznie „bezpiecznych” odwołań do API, i – celowo bądź nie – wywołuje błąd w IDA Pro, uniemożliwiając jego zastosowanie. Nie uruchamia się też na komputerach, w których jest zalogowany użytkownik

  • LaVirulera
  • tester
  • Tester
  • analyst
  • Analyst
  • lab
  • Lab
  • Malware
  • malware

a także automatycznie kasuje się z komputerów, w których Windows był zainstalowany w wersji językowej wskazującej na kraj Wspólnoty Niepodległych Państw, Syrię, Maroko, Egipt, Irak i Indie.

Po uruchomieniu, Anatova ubija wszystkie aplikacje mogące blokować dostęp do plików (np Steam.exe, sqlserver.exe), a następnie szyfruje pliki na dyskach lokalnych i sieciowych. Co istotne, by oszczędzić czas (i zostawić system używalnym), ransomware nie próbuje szyfrować oprogramowania i skupia się wyłącznie na plikach mniejszych od jednego megabajta. Następnie, w folderach w których zaszyfrowano pliki, zostawia notkę z żądaniem okupu w wysokości 10 DASH (około 700 dolarów).

Anatova - zadanie okupu - source:mcafee

Źródło: Happy New Year 2019! Anatova is here! (McAfee)

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →