Οι ερευνητές έχουν εντοπίσει μία νέα ομάδα ransomware με το όνομα HDDCryptor, η οποία επιτίθεται στο MBR του σκληρού δίσκου (Master Boot Record) και αποτρέπει τους υπολογιστές να κάνουν εκκίνηση μετά την κρυπτογράφηση των αρχείων του.
To HDDCryptor (ή Mamba) εμφανίστηκε γύρω στον Ιανουάριο του 2016, σύμφωνα με κάποιο topic στο forum του Bleeping Computer, όπου χρήστες ανέφεραν ότι μολύνθηκαν.
Με βάση τις μέχρι τώρα αναφορές, φαίνεται ότι μια πρόσφατη malware εκστρατεία έχει παραδώσει μια νέα έκδοση του HDDCryptor σε χρήστες σε όλο τον κόσμο. Ο πρώτος που (επαν)ανίχνευσε το HDDCryptor ήταν ο Renato Marinho, ένας ερευνητής ασφάλειας που εργάζεται για την Morphus Labs.
Η σύνθεση του HDDCryptor είναι κάμποσα εκτελέσιμα αρχεία, όλα στριμωγμένα σε ένα. Το κακόβουλο λογισμικό πρώτα σαρώνει το τοπικό δίκτυο για μονάδες δίσκου δικτύου. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο που ονομάζεται Network Password Recovery για να αναζητήσει και να σβήσει τα διαπιστευτήρια για κοινόχρηστους φακέλους δικτύου. Η διαδικασία συνεχίζεται με τη δρομολόγηση ένα άλλου εργαλείου ανοικτού κώδικα που ονομάζεται DiskCryptor το οποίο κρυπτογραφεί τα αρχεία του χρήστη που βρέθηκαν σε διαμερίσματα του σκληρού δίσκου. Αυτό το εργαλείο στη συνέχεια χρησιμοποιείται σε συνδυασμό με την προηγούμενη σάρωση και τους κωδικούς πρόσβασης, για να συνδεθεί με τις μονάδες δικτύου και να κρυπτογραφήσει τα δεδομένα.
Στο τέλος, το HDDCrypter ξαναγράφει το MBR του δίσκου με ένα προσαρμοσμένο boot loader και επανεκκινεί τον υπολογιστή, ο οποίος τελικά σταματάει σε ένα μήνυμα που ζητάει λύτρα.
Οι χρήστες προτρέπονται να επικοινωνήσουν με το συντάκτη του ransomware μέσω e-mail, όπου θα λάβουν την διεύθυνση Bitcoin για να πληρώσουν τα λύτρα. Οι απατεώνες ζητάνε 1 Bitcoin (περίπου $610).
Σύμφωνα με χρήματα που βρέθηκαν σε μία από τις διευθύνσεις Bitcoin που αναφέρονται σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, τουλάχιστον τέσσερις άνθρωποι φαίνεται να έχουν πληρώσει λύτρα μέχρι τώρα, αλλά πιθανώς είναι πολλοί περισσότεροι αφού οι απατεώνες χρησιμοποιούν διαφορετικές διευθύνσεις Bitcoin.