Διαφημίσεις Google

                                  
Η Πύλη Της Τεχνολογίας-Gate Of Tech

Η Πύλη Της Τεχνολογίας: Τεχνολογικά Νέα - Επιστήμες - Μαθηματικά – Πληροφορική - Φυσική – Διάστημα – Βιολογία - Ιατρική – Πλανήτης

pop_up_face

Διαφημίσεις Google

                                  

Σάββατο 24 Σεπτεμβρίου 2016

Nέα ransomware οικογένεια που επιτίθεται στο Master Boot Record ενός σκληρού δίσκου

HDDCryptor Ransomware κλειδώνει boot αρχεία του σκληρού δίσκου HDDCryptorΟι ερευνητές έχουν εντοπίσει μία νέα ransomware οικογένεια που επιτίθεται στο MBR (Master Boot Record) ενός σκληρού δίσκου και αποτρέπει την εκκίνηση των υπολογιστών μετά την κρυπτογράφηση των αρχείων τους. Το όνομα του εν λόγω ransomware είναι HDDCryptor (ή Mamba) και υπάρχει από τον Ιανουάριο του 2016, σύμφωνα με ένα θέμα στο Bleeping Computer φόρουμ, όπου οι χρήστες ανέφεραν τις μολύνσεις τους.
Από τεχνική άποψη, το HDDCryptor υπάρχει από πριν την υπερεκτεθειμένη Petya, και αργότερα τη...
Satana ransomware οικογένεια, η οποία πήρε πολύ περισσότερη προσοχή από τα μέσα ενημέρωσης και συμπεριφερόταν με τον ίδιο τρόπο, ξαναγράφοντας το MBR και αποτρέποντας την εκκίνηση του PC.
Με βάση τις διαθέσιμες αναφορές, φαίνεται ότι μια πρόσφατη malware εκστρατεία διανομής παραδίδει μια νέα έκδοση του HDDCryptor σε χρήστες σε όλο τον κόσμο.
Ο πρώτος που (επαν)ανίχνευσε το HDDCryptor ήταν ο Renato Marinho, ένας ερευνητής ασφάλειας της Morphus Labs, ο οποίος δήλωσε ότι η εταιρεία του, κλήθηκε να διερευνήσει μια μαζική HDDCryptor μόλυνση σε μια πολυεθνική, η οποία επηρεάστηκε  στα κεντρικά  της στις ΗΠΑ, στη Βραζιλία και στην Ινδία.
Η αρχική τεχνική ανάλυση του Marinho ακολουθήθηκε λίγες ημέρες αργότερα από κάποια άλλη στην Trend Micro, ως επί το πλείστον πανομοιότυπη.
Σύμφωνα και με τους δύο, οι HDDCryptor μολύνσεις ξεκίνησαν με τους χρήστες να έχουν πρόσβαση σε μια κακόβουλη ιστοσελίδα και κατεβάζοντας αρχεία μολυσμένα με malware στους υπολογιστές τους. Τα αρχεία αυτά είτε είχαν μολυνθεί με HDDCryptor άμεσα ή έρχονταν με ένα ενδιάμεσο κακόβουλο λογισμικό που παραδίδει το HDDCryptor σε μεταγενέστερο στάδιο, όταν οι απατεώνες ήταν σίγουροι ότι είχαν boot persistence στον μολυσμένο υπολογιστή.
first-screen HDDCryptor
Το πραγματικό HDDCryptor payload είναι μερικά binaries στριμωγμένα όλα σε ένα. Όταν εκτελείται το μεγάλο binary, “πετάει” αρχεία στον υπολογιστή του χρήστη και προκαλεί την εκκίνησή τους με μια συγκεκριμένη σειρά.
Το HDDCryptor σαρώνει πρώτα το τοπικό δίκτυο για δικτυακές μονάδες. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο, που ονομάζεται Network Password Recovery για να αναζητήσει και να πετάξει (dump) τα διαπιστευτήρια κοινόχρηστων φακέλων δικτύου, τωρινών ή παρελθοντικών.
Η διαδικασία συνεχίζεται με τη δρομολόγηση και ενός άλλου....


Διαβάστε περισσότερα στο: www.secnews.gr