Annabelle y MBRLock son los nuevos ransomware que tienen como objetivo infectar el Registro principal de Arranque o MBR por sus siglas en ingles, los cuales previenen que el sistema operativo inicie y así evitar un scaneo por parte de cualquier herramienta de seguridad.
Los ransomware estan evolucionando bastante rápido, con nuevas técnicas de evasión en su detección, esto con el objetivo de poder mejorar la persistencia en los equipos objetivos. El ultimo gran ransomware que supimos que tenia este modus operandi, y que ademas se hizo famoso a nivel mundial fue Petya.
El MBR es el primer registro de una unidad de almacenamiento, y se encuentra dentro de los primeros 512 bytes. Este registro contiene la información necesaria para que se pueda proceder con la carga del o los Sistemas operativos que viven en un Disco Duro.
La infección de la MBR en ambos ransomware ocurre cuando el equipo victima procede a un reinicio de sistema, haciendo que el malware reemplace el MBR original dando paso al código malicioso. Una infección a este registro implicaría consecuencias graves para el sistema.
Annabelle
Según informa el blog de investigación Quickheal, el malware realizará las siguientes acciones: "encripta todos los archivos del computador y añade una extensión .annabelle a los archivos afectados, intenta desahabilitar el firewall, termina toda una lista de procesos de Seguridad, se despliega en todas las unidades USB y por ultimo, sobrescribe el registro MBR con un código propio. Este ransomware solo tiene como objetivo, dejar inutilizable el sistema.
El malware llama a un DLL para tomar control de las unidades físicas de los sistemas infectados donde escribirá 0x800 en cada unidad física.
Después de infectar el disco duro el proceso RtlSetProcessIsCritical es llamado, esta función cambiará la criticidad del malware para que sea considerado como crítico para el sistema. Esto implica que cuando se intente el cierre de este proceso, windows se vea forzado a finalizar también, por lo general esto implica un crash en el sistema.
Para finalizar el proceso, el malware llama a shutdown.exe -r -f -t 0 para poder reiniciar el sistema. Posterior al reinicio del sistema aparece un mensaje de en el cual se pide el rescate por 0.1 bitcoin, y este debe ser pagado dentro de un plazo de tiempo.
Si el usuario decide no pagar el rescate, el malware reemplaza el MBR del sistema por el propio haciendo que ya no se pueda acceder mas al equipo.
MBRLock
Este ransomware fue detectado en febrero de este año. Este ransomware al igual que el anterior tiene como objetivo el MBR de la victima y solicita como rescate un valor de 30 yuan antes de que windows inicie.
El ransomware hace una llamada a createfile API, y con eso toma acceso a la unidad física. Posteriormente cuando llama a SetFilePointer este configura la variable en cero, cosa de poder acceder a los registros MBR. Este lee los primeros 0x200 bytes de memoria y los respalda en los siguientes 0x200 quedando respaldada la información en los 0x400 bytes de memoria.
Posterior al reinicio, el malware reemplaza el código original de MBR por el propio, impidiendo que el usuario logre acceder al sistema. Cuando el usuario intenta nuevamente acceder al equipo aparecerá el siguiente mensaje, en el cual le solicitará un rescate por 30 yuan para acceder a la información nuevamente.
El análisis del MBR indica que el malware compara la Contraseña introducida con una cadena que está presente en su código. Los investigadores dicen que la contraseña es "ssssss". A diferencia de otros ransomware, desbloquear la pantalla de este ransomware es bastante fácil, lo que se puede hacer sin pagar ningún rescate.
