Anatova to nowa rodzina ransomware znaleziona w prywatnej sieci p2p. Najwięcej infekcji zaobserwowano w USA, Belgii, Niemczech i Francji. Jej dokładniejszą analizę przeprowadził McAfee (i tam odsyłam wszystkich żądnych technicznych detali), warto jednak zwrócić uwagę na kilka ciekawostek związanych z tym szkodnikiem.
Przede wszystkim – Anatova wygląda na twór zdolnych programistów. Po usunięciu dodatków, kod ma 32 kilobajty – i dość zgrabnie próbuje się chronić przed analizą. Jawnie używa wyłącznie „bezpiecznych” odwołań do API, i – celowo bądź nie – wywołuje błąd w IDA Pro, uniemożliwiając jego zastosowanie. Nie uruchamia się też na komputerach, w których jest zalogowany użytkownik
- LaVirulera
- tester
- Tester
- analyst
- Analyst
- lab
- Lab
- Malware
- malware
a także automatycznie kasuje się z komputerów, w których Windows był zainstalowany w wersji językowej wskazującej na kraj Wspólnoty Niepodległych Państw, Syrię, Maroko, Egipt, Irak i Indie.
Po uruchomieniu, Anatova ubija wszystkie aplikacje mogące blokować dostęp do plików (np Steam.exe, sqlserver.exe), a następnie szyfruje pliki na dyskach lokalnych i sieciowych. Co istotne, by oszczędzić czas (i zostawić system używalnym), ransomware nie próbuje szyfrować oprogramowania i skupia się wyłącznie na plikach mniejszych od jednego megabajta. Następnie, w folderach w których zaszyfrowano pliki, zostawia notkę z żądaniem okupu w wysokości 10 DASH (około 700 dolarów).
Źródło: Happy New Year 2019! Anatova is here! (McAfee)