HDDCryptor überschreibt den MBR und verschlüsselt die Festplatte

Die Ransomware HDDCryptor, auch bekannt als Mamba, ist ein neuer Verschlüsselungsschädling, der den Master Boot Record (MBR) von Windows-Computern angreift. Wird der MBR modifiziert, findet der Computer den Sektor nicht, in dem sich das Betriebssystem befindet. Demzufolge kann der Anwender den Rechner nicht benutzen und nicht auf seine Dateien zugreifen. Eine Reihe weiterer Schädlinge verfügen ebenfalls über diese gefährliche Funktionalität, unter anderem Petya und Satana. HDDCryptor blieb lange unauffällig, da er niemals im Rahmen groß angelegter Kampagnen verbreitet wird. Doch Ende August zog der Erpresserschädling die Aufmerksamkeit der Forscher bei Morphus Lab und Trend Micro auf sich.

Laut Angaben der Experten wird HDDCryptor über schädliche Websites verbreitet. Dabei kann der Binärcode des Schädlings direkt oder über eine behelfsmäßige Payload geladen werden. Der Name der schädlichen Binärdatei besteht aus drei Ziffern, zum Beispiel 123.exe. Bei Ausführung der Datei werden in das Wurzelverzeichnis des Computers einige Dateien geladen, unter anderem netpass.exe und dcrypt.exe, bei denen es sich um legale, öffentlich verfügbare Tools handelt. Netpass.exe ist ein kostenloses Werkzeug zur Passwortwiederherstellung und dcrypt.exe ist die ausführbare Datei eines Open-Source-Tools zum Verschlüsseln der Festplatte (DiskCryptor).

Um sich dauerhaft festzusetzen, erstellt HDDCryptor ein neues Anwenderprofil „mythbusters“ mit dem Passwort „123456“ und fügt den neuen Dienst „DefragmentService“ hinzu, der bei jedem Systemstart ausgeführt wird und die ursprüngliche Binärdatei des Verschlüsselers aufruft. Beim Erststart scannt netpass.exe die vor kurzem benutzten Ordner und sucht nach Kontodaten. Gleichzeitig verschlüsseln andere Komponenten die Dateien des Opfers: Eine befasst sich mit der Festplatte, eine andere mit allen Netzwerkspeichern, und zwar auch mit denjenigen, die deaktiviert, aber physisch mit dem Computer verbunden sind. Ist die Verschlüsselung abgeschlossen, überschreibt der Schädling den MBR für alle logischen Festplatten. Daraufhin wird der Computer ohne Zutun des Nutzers neu gestartet und auf dem Bildschirm erscheint die Lösegeldforderung. Für die Decodierung fordern die Cybergangster 700 US-Dollar in Bitcoin, wobei sie den Nutzer mit ausführlichen Informationen darüber versorgen, wie und wo man Bitcoins kaufen kann. Darüber hinaus versprechen die Hacker, nach Zahlung des Lösegelds zu verraten, über welche Lücke sie in den Computer eindringen konnten, damit sich die Situation „in Zukunft nicht wiederholt“. Die Forscher weisen darauf hin, dass eine frühere Version des Schädlings, die auf Januar dieses Jahres datiert, keine derartig langatmigen Erklärungen enthielt. Nachdem er das Passwort erhalten hat, kann der Nutzer seinen Computer schließlich wieder starten.

Auf das Bitcoin-Konto, auf das in dem Schreiben verwiesen wird, sind unterdessen vier Zahlungen eingegangen. Nach den Worten des Forschers Renato Marinho von Morphus wurde seine Firma engagiert, um im Fall einer Infektion in einem multinationalen Unternehmen zu ermitteln, wobei sich die Infektion auf Computer in Filialen in Brasilien, Indien und in den USA erstreckte.

Quelle: Bleepingcomputer

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Heinz H.

    HDDCryptor, das wird der Virus sein der mich erwischt hat, mein Rechner hat 4 Festplatten. Aber ich werde keine 700 US-
    Dollar zahlen.
    Der Virus ist nicht nur in Brasilien, Indien und den USA, sondern er ist auch hier in Deutschand angekommen.
    Vielleicht kann das Unternehmen Kaspersky, die unterdrückte E-Mail Adresse dem Forscher Herrn R. Marinho v. Morphus
    zur verfügung stellen.

    MfG Heinz d. H

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.