Ransomware Anatova: uma nova ameaça com recursos depreciativos

O ransomware Anatova, um malware multifuncional, foi visto em todo o mundo, incluindo Bélgica, Alemanha, França, Reino Unido, Rússia, EUA. Foi descoberto em redes peer-to-peer, onde é camuflado como um ícone de um vídeo ou outro programa.

Pesquisadores da McAfee publicaram recentemente um relatório detectado sobre essa nova ameaça, segundo a qual, o Anatova ransomware criptografa os dados de armazenamento armazenados no sistema usando um algoritmo de criptografia “robusto” e exige 1 DASH (US $ 700) como resgate das vítimas pelo descriptografador. .

De acordo com os pesquisadores da McAfee, o ransomware Anatova pode ser uma ameaça proeminente no futuro:

“Os desenvolvedores / atores por trás do Anatova são, de acordo com nossa avaliação, autores habilidosos de malware. Nós tiramos esta conclusão, pois cada amostra tem sua própria chave única, bem como outras funções que descreveremos, as quais não vemos com frequência em famílias de ransomware. ”

Mais alguns fatos sobre o ransomware Anatova

Antes de prosseguir para a infiltração, este ransomware fez várias verificações. Em primeiro lugar, verifica o nome de usuário de logins do proprietário do computador. Se o nome de usuário for da lista predeterminada, como “LaVirulera”, “testador”, “analista”, “laboratório”, “malware”, o malware deixa, indica que os desenvolvedores não desejam que o malware seja verificado pelos pesquisadores.

Então, depois, o malware verifica a linguagem da máquina para saber sobre os países a que pertence. Na verdade, não afeta os seguintes países:

  • A Comunidade dos Estados Independentes (países da CEI)
  • Síria

Egito

  • Marrocos

Iraque

  • Índia

A razão por trás disso ainda não está clara; no entanto, é preciso chegar a uma conclusão que pode ser porque esses criminosos são desses países, de modo que excluíram todos eles.

Dois recursos mais alarmantes do ransomware Anatova

De acordo com especialistas, ele tem duas características depreciativas: o aspecto anti-análise e a capacidade de evoluir com a ajuda da arquitetura modular. Este ransomware protege suas strings com a criptografia Unicode e Ascii. Ambos são necessários um código único para sua execução. Esses códigos estão ocultos nos arquivos executáveis.

Ele usa APIs confiáveis ​​como uma linguagem de programação típica para GetModuleHandleW, LoadLibraryW, GetProcAddress, ExitProcess e MessageBoxA. O pode carregar extra1.dll e extra2.dll que adicionam recursos e funções ao ransomware. E então, ele inicia processos devastadores sob o sistema e leva ao desligamento de vários processos em execução, à criptografia de arquivos e ao descarte de uma nota de ransomware para exigir taxa de resgate.