Novi ransomware HDDCryptor šifruje MBR hard diska i fajlove žrtava

Opisi virusa, 20.09.2016, 08:30 AM

Novi ransomware HDDCryptor šifruje MBR hard diska i fajlove žrtava

Stručnjaci kompanija Trend Micro i Morphus Labs upozorili su na novu verziju ransomwarea HDDCryptor koji se pojavio početkom godine kada su korisnici foruma Bleeping Computer prijavili infekcije ovim ransomwareom.

HDDCryptor koji je poznat i pod nazivom Mamba napada MBR (Master Boot Record) hard diska, sprečavajući učitavanje operativnog sistema inficiranog računara posle enkripcije fajlova.

HDDCryptor nije prvi ransomware koji se ovako ponaša. Slični njemu su i ransomwarei Petya i Satana koji su se pojavili posle HDDCryptora ali su privukli znatno veću pažnju medija.

Novi izveštaji govore da se nova verzija HDDCryptora trenutno širi po celom svetu.

Renato Marino, bezbednosni istraživač kompanije Morphus Labs, kaže da je jedna kompanija pozvala Morphus Labs da istraži masovnu infekciju računara u njenim predstavništvima u SAD, Brazilu i Indiji.

Morphus Labs je objavio tehničku analizu nove verzije ransomwarea nekoliko dana pošto su to uradili i stručnjaci kompanije Trend Micro.

Stručnjaci kažu da do infekcije dolazi kada korisnici posete maliciozni web sajt i preuzmu fajlove zaražene malverom. Ovi fajlovi su ili inficirani samim HDDCryptororom ili nekim posredničkim malverom koji kasnije isporučuje HDDCryptor.

Kada se preuzeti fajl pokrene, on ostavlja nekoliko fajlova na računaru i pokreće ih određenim redosledom.

HDDCryptor najpre skenira lokalnu mrežu, a zatim koristi besplatni alat Network Password Recovery da bi našao lozinke za deljene foldere.

Proces se nastavlja pokretanjem open source alata nazvanog DiskCryptor koji šifruje fajlove na particijama hard diska. Ovaj alat se zatim koristi zajedno sa prethodno pronađenim lozinkama da bi se povezao sa umreženim diskovima i šifrovao podatke na njima.

Na kraju, HDDCryptor prepisuje MBR svojim boot loaderom i restartuje računar, da bi zatim prikazao obaveštenje o otkupnini.

Žrtve se pozivaju da emailom kontaktiraju autora ransomwarea da bi dobili bitcoin adresu na koju treba da uplate traženu otkupninu. Trenutno, HDDCryptor traži 1 bitcoin (oko 610 dolara).

Na osnovu sume koju su našli na jednoj bitcoin adresi, istraživači su zaključili da je najmanje četiri korisnika do sada platilo otkupninu, ali stručnjaci kažu da je broj onih koji su odlučili da plate veći jer kriminalci verovatno koriste različite bitcoin adrese.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje