Το ransomware HDDCryptor κλειδώνει το boot των σκληρών δίσκων

Οι ερευνητές έχουν εντοπίσει μία νέα ομάδα με το όνομα HDDCryptor, η οποία επιτίθεται στο MBR του σκληρού δίσκου (Master Boot Record) και αποτρέπει τους υπολογιστές να κάνουν εκκίνηση μετά την κρυπτογράφηση των αρχείων του.

Ransomware HDDCryptor

To HDDCryptor (ή Mamba) εμφανίστηκε γύρω στον Ιανουάριο του , σύμφωνα με κάποιο topic στο forum του Bleeping Computer, όπου χρήστες ανέφεραν ότι μολύνθηκαν.

Με βάση τις μέχρι τώρα αναφορές, φαίνεται ότι μια πρόσφατη εκστρατεία έχει παραδώσει μια νέα έκδοση του HDDCryptor σε χρήστες σε όλο τον κόσμο. Ο πρώτος που (επαν)ανίχνευσε το HDDCryptor ήταν ο Renato Marinho, ένας ερευνητής ασφάλειας που εργάζεται για την Morphus Labs.

Η σύνθεση του HDDCryptor είναι κάμποσα εκτελέσιμα αρχεία, όλα στριμωγμένα σε ένα. Το κακόβουλο λογισμικό πρώτα σαρώνει το τοπικό δίκτυο για μονάδες δίσκου δικτύου. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο που ονομάζεται Network Password Recovery για να αναζητήσει και να σβήσει τα διαπιστευτήρια για κοινόχρηστους φακέλους δικτύου. Η διαδικασία συνεχίζεται με τη δρομολόγηση ένα άλλου εργαλείου ανοικτού κώδικα που ονομάζεται DiskCryptor το οποίο κρυπτογραφεί τα αρχεία του χρήστη που βρέθηκαν σε διαμερίσματα του σκληρού δίσκου. Αυτό το εργαλείο στη συνέχεια χρησιμοποιείται σε συνδυασμό με την προηγούμενη σάρωση και τους κωδικούς πρόσβασης, για να συνδεθεί με τις μονάδες δικτύου και να κρυπτογραφήσει τα δεδομένα.

  Ransomware LockBit: Οι εκβιαστές έστειλαν το κλειδί και ζήτησαν συγγνώμη από νοσοκομείο

Στο τέλος, το HDDCrypter ξαναγράφει το MBR του δίσκου με ένα προσαρμοσμένο boot loader και επανεκκινεί τον υπολογιστή, ο οποίος τελικά σταματάει σε ένα μήνυμα που ζητάει λύτρα.

Οι χρήστες προτρέπονται να επικοινωνήσουν με το συντάκτη του ransomware μέσω , όπου θα λάβουν την διεύθυνση για να πληρώσουν τα λύτρα. Οι απατεώνες ζητάνε 1 Bitcoin (περίπου $610).

ransomware-locks-hard-drive-boot-records

Σύμφωνα με χρήματα που βρέθηκαν σε μία από τις διευθύνσεις Bitcoin που αναφέρονται σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, τουλάχιστον τέσσερις άνθρωποι φαίνεται να έχουν πληρώσει λύτρα μέχρι τώρα, αλλά πιθανώς είναι πολλοί περισσότεροι αφού οι απατεώνες χρησιμοποιούν διαφορετικές διευθύνσεις Bitcoin.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).