Οι ερευνητές έχουν εντοπίσει μία νέα ransomware οικογένεια που επιτίθεται στο MBR (Master Boot Record) ενός σκληρού δίσκου και αποτρέπει την εκκίνηση των υπολογιστών μετά την κρυπτογράφηση των αρχείων τους. Το όνομα του εν λόγω ransomware είναι HDDCryptor (ή Mamba) και υπάρχει από τον Ιανουάριο του 2016, σύμφωνα με ένα θέμα στο Bleeping Computer φόρουμ, όπου οι χρήστες ανέφεραν τις μολύνσεις τους.
Από τεχνική άποψη, το HDDCryptor υπάρχει από πριν την υπερεκτεθειμένη Petya, και αργότερα τη Satana ransomware οικογένεια, η οποία πήρε πολύ περισσότερη προσοχή από τα μέσα ενημέρωσης και συμπεριφερόταν με τον ίδιο τρόπο, ξαναγράφοντας το MBR και αποτρέποντας την εκκίνηση του PC.
Με βάση τις διαθέσιμες αναφορές, φαίνεται ότι μια πρόσφατη malware εκστρατεία διανομής παραδίδει μια νέα έκδοση του HDDCryptor σε χρήστες σε όλο τον κόσμο.
Ο πρώτος που (επαν)ανίχνευσε το HDDCryptor ήταν ο Renato Marinho, ένας ερευνητής ασφάλειας της Morphus Labs, ο οποίος δήλωσε ότι η εταιρεία του, κλήθηκε να διερευνήσει μια μαζική HDDCryptor μόλυνση σε μια πολυεθνική, η οποία επηρεάστηκε στα κεντρικά της στις ΗΠΑ, στη Βραζιλία και στην Ινδία.
Η αρχική τεχνική ανάλυση του Marinho ακολουθήθηκε λίγες ημέρες αργότερα από κάποια άλλη στην Trend Micro, ως επί το πλείστον πανομοιότυπη.
Σύμφωνα και με τους δύο, οι HDDCryptor μολύνσεις ξεκίνησαν με τους χρήστες να έχουν πρόσβαση σε μια κακόβουλη ιστοσελίδα και κατεβάζοντας αρχεία μολυσμένα με malware στους υπολογιστές τους. Τα αρχεία αυτά είτε είχαν μολυνθεί με HDDCryptor άμεσα ή έρχονταν με ένα ενδιάμεσο κακόβουλο λογισμικό που παραδίδει το HDDCryptor σε μεταγενέστερο στάδιο, όταν οι απατεώνες ήταν σίγουροι ότι είχαν boot persistence στον μολυσμένο υπολογιστή.
Το πραγματικό HDDCryptor payload είναι μερικά binaries στριμωγμένα όλα σε ένα. Όταν εκτελείται το μεγάλο binary, “πετάει” αρχεία στον υπολογιστή του χρήστη και προκαλεί την εκκίνησή τους με μια συγκεκριμένη σειρά.
Το HDDCryptor σαρώνει πρώτα το τοπικό δίκτυο για δικτυακές μονάδες. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο, που ονομάζεται Network Password Recovery για να αναζητήσει και να πετάξει (dump) τα διαπιστευτήρια κοινόχρηστων φακέλων δικτύου, τωρινών ή παρελθοντικών.
Η διαδικασία συνεχίζεται με τη δρομολόγηση και ενός άλλου εργαλείου ανοικτού κώδικα που ονομάζεται DiskCryptor για να κρυπτογραφήσει τα αρχεία του χρήστη που βρέθηκαν σε partitions του σκληρού δίσκου. Αυτό το εργαλείο μετά χρησιμοποιείται σε συνδυασμό με την προηγούμενη σάρωση και τους κωδικούς πρόσβασης για να συνδεθεί με δικτυακές μονάδες και παράλληλα, να κρυπτογραφήσει τα δεδομένα.
Στο τέλος, το HDDCrypter ξαναγράφει το MBR με έναν custom boot loader και κάνει επανεκκίνηση του υπολογιστή, ο οποίος τότε κολλάει σε ένα σημείωμα για λύτρα, όπως το παρακάτω:
Οι χρήστες ενθαρρύνονται να επικοινωνήσουν με το συντάκτη του ransomware μέσω e-mail, όπου θα λάβουν την Bitcoin διεύθυνση, στην οποία θα πρέπει να πληρώσουν τα λύτρα. Οι απατεώνες προς το παρόν ζητούν 1 Bitcoin (≈ $ 610).
Σύμφωνα με κεφάλαια που βρέθηκαν σε μία από τις Bitcoin διευθύνσεις που μοιράστηκαν σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, τουλάχιστον τέσσερις άνθρωποι φαίνεται να έχουν πληρώσει τα ζητούμενα ποσά μέχρι τώρα, αλλά υπάρχουν ενδεχομένως και περισσότεροι, αν απατεώνες χρησιμοποιούν διαφορετικές Bitcoin διευθύνσεις.
