Novi ransomware HDDCryptor šifruje MBR hard diska i fajlove žrtava

Opisi virusa, 20.09.2016, 08:30 AM

Novi ransomware HDDCryptor šifruje MBR hard diska i fajlove žrtava

Stručnjaci kompanija Trend Micro i Morphus Labs upozorili su na novu verziju ransomwarea HDDCryptor koji se pojavio početkom godine kada su korisnici foruma Bleeping Computer prijavili infekcije ovim ransomwareom.

HDDCryptor koji je poznat i pod nazivom Mamba napada MBR (Master Boot Record) hard diska, sprečavajući učitavanje operativnog sistema inficiranog računara posle enkripcije fajlova.

HDDCryptor nije prvi ransomware koji se ovako ponaša. Slični njemu su i ransomwarei Petya i Satana koji su se pojavili posle HDDCryptora ali su privukli znatno veću pažnju medija.

Novi izveštaji govore da se nova verzija HDDCryptora trenutno širi po celom svetu.

Renato Marino, bezbednosni istraživač kompanije Morphus Labs, kaže da je jedna kompanija pozvala Morphus Labs da istraži masovnu infekciju računara u njenim predstavništvima u SAD, Brazilu i Indiji.

Morphus Labs je objavio tehničku analizu nove verzije ransomwarea nekoliko dana pošto su to uradili i stručnjaci kompanije Trend Micro.

Stručnjaci kažu da do infekcije dolazi kada korisnici posete maliciozni web sajt i preuzmu fajlove zaražene malverom. Ovi fajlovi su ili inficirani samim HDDCryptororom ili nekim posredničkim malverom koji kasnije isporučuje HDDCryptor.

Kada se preuzeti fajl pokrene, on ostavlja nekoliko fajlova na računaru i pokreće ih određenim redosledom.

HDDCryptor najpre skenira lokalnu mrežu, a zatim koristi besplatni alat Network Password Recovery da bi našao lozinke za deljene foldere.

Proces se nastavlja pokretanjem open source alata nazvanog DiskCryptor koji šifruje fajlove na particijama hard diska. Ovaj alat se zatim koristi zajedno sa prethodno pronađenim lozinkama da bi se povezao sa umreženim diskovima i šifrovao podatke na njima.

Na kraju, HDDCryptor prepisuje MBR svojim boot loaderom i restartuje računar, da bi zatim prikazao obaveštenje o otkupnini.

Žrtve se pozivaju da emailom kontaktiraju autora ransomwarea da bi dobili bitcoin adresu na koju treba da uplate traženu otkupninu. Trenutno, HDDCryptor traži 1 bitcoin (oko 610 dolara).

Na osnovu sume koju su našli na jednoj bitcoin adresi, istraživači su zaključili da je najmanje četiri korisnika do sada platilo otkupninu, ali stručnjaci kažu da je broj onih koji su odlučili da plate veći jer kriminalci verovatno koriste različite bitcoin adrese.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Rudarenje digitalnog novca je novi trend u svetu malvera, o čemu svedoči i nedavno otkriveni agresivni malver koga su primetili istraživači iz fir... Dalje

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Istraživači kompanije Proofpoint otkrili su novi malver koji krade sačuvane lozinke i podatke o platnim karticama iz Chromea i Firefoxa. Pored toga... Dalje

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da... Dalje

Novi sajber špijun ZooPark

Novi sajber špijun ZooPark

Istraživači kompanije Kaspersky Lab otkrili su ZooPark, sofisticiranu sajber špijunažu, koja je započela pre nekoliko godina i čiji su ciljevi k... Dalje

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite ... Dalje