News

HDDCryptor überschreibt den MBR und verschlüsselt die Festplatte

Die Ransomware HDDCryptor, auch bekannt als Mamba, ist ein neuer Verschlüsselungsschädling, der den Master Boot Record (MBR) von Windows-Computern angreift. Wird der MBR modifiziert, findet der Computer den Sektor nicht, in dem sich das Betriebssystem befindet. Demzufolge kann der Anwender den Rechner nicht benutzen und nicht auf seine Dateien zugreifen. Eine Reihe weiterer Schädlinge verfügen ebenfalls über diese gefährliche Funktionalität, unter anderem Petya und Satana. HDDCryptor blieb lange unauffällig, da er niemals im Rahmen groß angelegter Kampagnen verbreitet wird. Doch Ende August zog der Erpresserschädling die Aufmerksamkeit der Forscher bei Morphus Lab und Trend Micro auf sich.

Laut Angaben der Experten wird HDDCryptor über schädliche Websites verbreitet. Dabei kann der Binärcode des Schädlings direkt oder über eine behelfsmäßige Payload geladen werden. Der Name der schädlichen Binärdatei besteht aus drei Ziffern, zum Beispiel 123.exe. Bei Ausführung der Datei werden in das Wurzelverzeichnis des Computers einige Dateien geladen, unter anderem netpass.exe und dcrypt.exe, bei denen es sich um legale, öffentlich verfügbare Tools handelt. Netpass.exe ist ein kostenloses Werkzeug zur Passwortwiederherstellung und dcrypt.exe ist die ausführbare Datei eines Open-Source-Tools zum Verschlüsseln der Festplatte (DiskCryptor).

Um sich dauerhaft festzusetzen, erstellt HDDCryptor ein neues Anwenderprofil „mythbusters“ mit dem Passwort „123456“ und fügt den neuen Dienst „DefragmentService“ hinzu, der bei jedem Systemstart ausgeführt wird und die ursprüngliche Binärdatei des Verschlüsselers aufruft. Beim Erststart scannt netpass.exe die vor kurzem benutzten Ordner und sucht nach Kontodaten. Gleichzeitig verschlüsseln andere Komponenten die Dateien des Opfers: Eine befasst sich mit der Festplatte, eine andere mit allen Netzwerkspeichern, und zwar auch mit denjenigen, die deaktiviert, aber physisch mit dem Computer verbunden sind. Ist die Verschlüsselung abgeschlossen, überschreibt der Schädling den MBR für alle logischen Festplatten. Daraufhin wird der Computer ohne Zutun des Nutzers neu gestartet und auf dem Bildschirm erscheint die Lösegeldforderung. Für die Decodierung fordern die Cybergangster 700 US-Dollar in Bitcoin, wobei sie den Nutzer mit ausführlichen Informationen darüber versorgen, wie und wo man Bitcoins kaufen kann. Darüber hinaus versprechen die Hacker, nach Zahlung des Lösegelds zu verraten, über welche Lücke sie in den Computer eindringen konnten, damit sich die Situation „in Zukunft nicht wiederholt“. Die Forscher weisen darauf hin, dass eine frühere Version des Schädlings, die auf Januar dieses Jahres datiert, keine derartig langatmigen Erklärungen enthielt. Nachdem er das Passwort erhalten hat, kann der Nutzer seinen Computer schließlich wieder starten.

Auf das Bitcoin-Konto, auf das in dem Schreiben verwiesen wird, sind unterdessen vier Zahlungen eingegangen. Nach den Worten des Forschers Renato Marinho von Morphus wurde seine Firma engagiert, um im Fall einer Infektion in einem multinationalen Unternehmen zu ermitteln, wobei sich die Infektion auf Computer in Filialen in Brasilien, Indien und in den USA erstreckte.

Quelle: Bleepingcomputer

HDDCryptor überschreibt den MBR und verschlüsselt die Festplatte

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

  1. Heinz H.

    HDDCryptor, das wird der Virus sein der mich erwischt hat, mein Rechner hat 4 Festplatten. Aber ich werde keine 700 US-
    Dollar zahlen.
    Der Virus ist nicht nur in Brasilien, Indien und den USA, sondern er ist auch hier in Deutschand angekommen.
    Vielleicht kann das Unternehmen Kaspersky, die unterdrückte E-Mail Adresse dem Forscher Herrn R. Marinho v. Morphus
    zur verfügung stellen.

    MfG Heinz d. H

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach