Вымогатель HDDCryptor, также известный как Mamba, — новый шифровальщик, атакующий главную загрузочную запись Windows-компьютера (MBR). При модификации MBR компьютер не находит сектор, в котором находится ОС, и пользователь, таким образом, не может воспользоваться компьютером и получить доступ к своим файлам. Эту функциональность имеют ряд других опасных зловредов — в частности, Petya и Satana.

HDDCryptor не «светился» до недавнего времени, так как никогда не распространялся в ходе масштабных кампаний. Но в конце августа вымогатель привлек внимание исследователей из Morphus Lab и Trend Micro.

По словам экспертов, HDDCryptor распространяется через вредоносные сайты. При этом бинарный код зловреда может загружаться напрямую или через вспомогательную полезную нагрузку.

Название вредоносного бинарника состоит из трех цифр — например, 123.exe. При его исполнении в корневой каталог компьютера загружаются несколько файлов, притом два из них, netpass.exe и dcrypt.exe, — легальные, публично доступные инструменты. Netpass.exe — бесплатный инструмент для восстановления пароля, а dcrypt.exe — исполняемый файл open-source-утилиты для шифрования диска (DiskCryptor).

Чтобы обеспечить себе постоянство присутствия, HDDCryptor создает новый пользовательский профиль «mythbusters» с паролем «123456» и добавляет новую службу «DefragmentService», запускаемую при каждой загрузке системы и вызывающую изначальный бинарник шифровальщика.

При первом запуске netpass.exe сканирует недавно использованные папки и ищет учетные данные. В это время другие компоненты шифруют файлы жертвы: один из них занимается жестким диском, а другой действует на всех сетевых накопителях, включая те, которые были отключены, но физически соединены с компьютером.

Завершив процесс шифрования, зловред переписывает MBR для всех логических дисков; затем компьютер перегружается без всякого участия пользователя, и на экране появляется требование о выкупе. За дешифратор злоумышленники требуют $700 в биткойнах, «заботливо» снабдив пользователя очень подробной инструкцией о том, как и где купить биткойны. Кроме того, после уплаты выкупа хакеры обещают рассказать, через какую лазейку смогли попасть в компьютер, — чтобы ситуация «не повторилась в будущем». Как отмечают исследователи, более ранняя, январская версия зловреда не предлагала таких пространных рекомендаций.

Получив пароль, пользователь может наконец загрузить компьютер.

На биткойн-кошелек, указанный в записке, тем временем пришли четыре платежа. По словам исследователя Ренату Мариньу (Renato Marinho) из Morphus, его компания была нанята для расследования случая заражения в мультинациональной корпорации; инфекция распространилась на компьютеры филиалов в Бразилии, Индии и США.

Категории: Аналитика, Вредоносные программы, Главное