Novi ransomware HDDCryptor šifruje MBR hard diska i fajlove žrtava

Opisi virusa, 20.09.2016, 08:30 AM

Stručnjaci kompanija Trend Micro i Morphus Labs upozorili su na novu verziju ransomwarea HDDCryptor koji se pojavio početkom godine kada su korisnici foruma Bleeping Computer prijavili infekcije ovim ransomwareom.

HDDCryptor koji je poznat i pod nazivom Mamba napada MBR (Master Boot Record) hard diska, sprečavajući učitavanje operativnog sistema inficiranog računara posle enkripcije fajlova.

HDDCryptor nije prvi ransomware koji se ovako ponaša. Slični njemu su i ransomwarei Petya i Satana koji su se pojavili posle HDDCryptora ali su privukli znatno veću pažnju medija.

Novi izveštaji govore da se nova verzija HDDCryptora trenutno širi po celom svetu.

Renato Marino, bezbednosni istraživač kompanije Morphus Labs, kaže da je jedna kompanija pozvala Morphus Labs da istraži masovnu infekciju računara u njenim predstavništvima u SAD, Brazilu i Indiji.

Morphus Labs je objavio tehničku analizu nove verzije ransomwarea nekoliko dana pošto su to uradili i stručnjaci kompanije Trend Micro.

Stručnjaci kažu da do infekcije dolazi kada korisnici posete maliciozni web sajt i preuzmu fajlove zaražene malverom. Ovi fajlovi su ili inficirani samim HDDCryptororom ili nekim posredničkim malverom koji kasnije isporučuje HDDCryptor.

Kada se preuzeti fajl pokrene, on ostavlja nekoliko fajlova na računaru i pokreće ih određenim redosledom.

HDDCryptor najpre skenira lokalnu mrežu, a zatim koristi besplatni alat Network Password Recovery da bi našao lozinke za deljene foldere.

Proces se nastavlja pokretanjem open source alata nazvanog DiskCryptor koji šifruje fajlove na particijama hard diska. Ovaj alat se zatim koristi zajedno sa prethodno pronađenim lozinkama da bi se povezao sa umreženim diskovima i šifrovao podatke na njima.

Na kraju, HDDCryptor prepisuje MBR svojim boot loaderom i restartuje računar, da bi zatim prikazao obaveštenje o otkupnini.

Žrtve se pozivaju da emailom kontaktiraju autora ransomwarea da bi dobili bitcoin adresu na koju treba da uplate traženu otkupninu. Trenutno, HDDCryptor traži 1 bitcoin (oko 610 dolara).

Na osnovu sume koju su našli na jednoj bitcoin adresi, istraživači su zaključili da je najmanje četiri korisnika do sada platilo otkupninu, ali stručnjaci kažu da je broj onih koji su odlučili da plate veći jer kriminalci verovatno koriste različite bitcoin adrese.