Die meisten Schadprogramme werden erstellt, um für die Angreifer Geld von Nutzern zu erpressen. Bei der Annabelle Ransomware, welche aktuell auf zahlreichen Rechnern verbreitet wird, ging es dem Hacker eher darum, die eigenen Fähigkeiten unter Beweis zu stellen.
Die Annabelle Ransomware ist dank der vielen Methoden, wie die Sicherheit eines Systems ausgehebelt werden kann, ein Horror für Nutzer. Dennoch kann die Malware sehr einfach geknackt werden. Nutzer sollten daher auf keinen Fall das verlange Lösegeld in Höhe von 0,1 Bitcoins bezahlen.
Entschlüsselung sehr einfach
Die Annabelle Ransomware basiert auf Stupid Ransomware und diese ist außerordentlich einfach zu entschlüsseln. Der Entwickler Michael Gillespie hat ein Programm geschrieben namens StupidDecryptor, welches das Entschlüsseln der Annabelle Ransomware erlaubt. Das Programm kann unter dem folgenden Link heruntergeladen werden:
> Annabelle Ransomware entschlüsseln
Was macht die Annabelle Ransomware?
Dass die Entschlüsselung derart einfach funktioniert, zeugt davon, dass hinter Annabelle nicht wirklich die Absicht steckt, das große Geld zu verdienen. Die Malware ist nämlich derart ausgeklügelt, dass sie das Potenzial hätte, um sich auf zahlreichen Rechnern verteilt zu werden.
Nachdem die Annabelle Ransomware das erste Mal ausgeführt wird, konfiguriert sich das Programm automatisch, um beim nächsten Windows-Start zu laufen. Eine Reihe von Diensten und Programmen wird daraufhin terminiert, darunter Process Hacker, Prozessexplorer, msconfig, Task-Manager, Chrome und viele Fehler. Die Schadsoftware verhindert daraufhin zudem, dass selbst Programme, wie Notepad++ oder der Editor, ausgeführt werden.
Die Software versucht sich über autorun.inf-Dateien zu verbreiten, was allerdings zuletzt unter Windows XP wirklich nützlich war. Beim Einsetzen eines USB-Sticks oder einer CD wurde damals die Software auf dem Medium automatisch ausgeführt. Sony nutzte dieses Verhalten im Jahr 2005 aus, um über die eigenen DVDs einen Rootkit auf Windows-PCs zu installieren, um so Raubkopien zu verhindern. Heute ist das dank der vorherigen Abfrage, was mit einer eingesetzten Disk passieren soll und zusätzlicher Sicherheitsmechanismen nicht mehr möglich.
Der Hacker namens iCoreX#1337 hat zudem ein Programm geschrieben, das die MBR des infizierten Computers ersetzt und eine Danksagung darstellt für all jene, die ihn bei der Umsetzung unterstützt haben.
