Anatova ransomware: une nouvelle menace avec des caractéristiques dénigrantes

Anatova ransomware, un logiciel malveillant multifonctionnel a été détecté dans le monde entier, notamment en Belgique, en Allemagne, en France, au Royaume-Uni, en Russie et aux États-Unis. Il a été découvert sur des réseaux poste à poste, où il est camouflé en tant qu’icône d’une vidéo ou d’un autre programme.

Des chercheurs de McAfee ont récemment publié un rapport détecté sur cette nouvelle menace, selon lequel Anatova ransomware crypte les données de stockage personnelles stockées sur le système en utilisant un algorithme de cryptage «robuste», puis exige 1 DASH (700 $) en tant que rançon des victimes pour le décrypteur. .

Selon des chercheurs de McAfee, Anatova ransomware pourrait constituer une menace majeure à l’avenir:

«Les développeurs / acteurs derrière Anatova sont, selon notre évaluation, des auteurs de logiciels malveillants qualifiés. Nous tirons cette conclusion car chaque échantillon a sa propre clé unique, ainsi que d’autres fonctions que nous décrirons, que nous ne voyons pas souvent dans les familles de ransomware. ”

Quelques faits supplémentaires sur le ransomware Anatova

Avant de procéder à l’infiltration, ce ransomware a effectué plusieurs vérifications. Tout d’abord, il vérifie le nom d’utilisateur de connexion du propriétaire de l’ordinateur. Si le nom d’utilisateur provient de la liste prédéterminée, telle que «LaVirulera», «testeur», «analyste», «laboratoire», «programme malveillant», le logiciel malveillant quitte, ce qui signifie que les développeurs ne souhaitent pas que le programme malveillant soit contrôlé par les chercheurs.

Ensuite, le logiciel malveillant vérifie la langue de la machine pour connaître les pays auxquels elle appartient. En fait, n’affecte pas les pays suivants:

  • la Communauté d’États indépendants (pays de la CEI)
  • Syrie
  • Egypte
  • Maroc
  • Irak
  • Inde

La raison derrière ceci n’est pas encore claire; Cependant, il faut en venir à une conclusion, peut-être parce que ces criminels sont originaires de ces pays, ils les ont tous exclus.

Deux caractéristiques les plus alarmantes du ransomware Anatova

Selon les experts, l’aspect anti-analyse et la possibilité d’évoluer à l’aide d’une architecture modulaire ont deux caractéristiques désobligeantes. Ce ransomware protège ses chaînes avec le cryptage Unicode et Ascii. Les deux sont tenus d’un code unique pour leur exécution. Ces codes sont cachés dans les fichiers exécutables.

Il utilise des API fiables, un langage de programmation typique pour GetModuleHandleW, LoadLibraryW, GetProcAddress, ExitProcess et MessageBoxA. Le peut charger extra1.dll et extra2.dll qui ajoutent des capacités et des fonctions au ransomware. Et puis, il commence des processus dévastateurs dans le système et conduit à l’arrêt de plusieurs processus en cours, au cryptage des fichiers et à l’abandon d’une note de ransomware demandant des frais de rançon.