HDDCryptor勒索软件使用开源工具来彻底拥有系统

HDDCryptor(又名Mamba)是勒索软件的一个破坏性极强的片段,它可以加密已安装驱动器和网络共享中的文件,并锁定计算机’硬盘,并覆盖其引导磁盘MBR。

最后的操作使系统无法启动,并显示赎金记录:

HDDCryptor勒索软件勒索注意

该恶意软件使用Netpass(一种用于为当前登录用户恢复系统上存储的所有网络密码的合法工具)连接到网络文件夹并加密其内容。

“HDDCryptor通过DiskCryptor使用磁盘和网络文件级加密,DiskCryptor是一种开源磁盘加密软件,在XTS模式下支持AES,Twofish和Serpent加密算法,包括其组合。它还使用DiskCryptor覆盖主引导记录(MBR),并添加了修改后的引导加载程序以显示其赎金记录,而不是计算机的常规登录屏幕,”趋势科技研究人员 说明.

为了获得持久性,HDDCryptor创建了一个新用户和新服务(碎片整理服务),它会在每次启动时运行并调用勒索软件’s binary.

勒索软件于2016年1月首次出现,但感染很少。现在,安全研究人员和用户已注意到此问题,因为危害的数量正在增加。

根据趋势科技的说法,用户通常是在无意中从恶意网站下载恶意软件后或’下载了其他恶意软件,然后下载了HDDCryptor。

Morphus Labs研究人员Renato Marinho在一个跨国公司的服务器上发现了勒索软件后,于本月初对其进行了分析。受影响的系统位于公司中’的巴西,美国和印度子公司。

“到目前为止,我们已经找到了有关此威胁的一些很好的信息,但是我们尚未找到感染媒介,”马里尼奥说,并分享了他们的信念,“密码对于所有受害者都是相同的,或者可能与受害者的环境有关,例如主机名。”

他们’ve通过给定的电子邮件地址联系了罪犯,并发现他们要求1比特币作为解密密钥的回报。犯罪分子提供的比特币地址似乎表明赎金已经支付了四倍。

分享这个