The researchers have detected a new ransomware group with the name HDDCryptor, which attacks the hard disk's MBR (Master Boot Record) and prevents computers from booting after encrypting its files.
That's it HDDCryptor (or Mamba) appeared around January of 2016, according to a topic in Bleeping Computer forum, where users reported being infected.
Based on the reports so far, it appears that a recent one malware campaign has delivered a new version of HDDCryptor to users around the world. The first to (re)discover HDDCryptor was Renato Marinho, a security researcher working for Morphus Labs.
Η σύνθεση του HDDCryptor είναι κάμποσα εκτελέσιμα αρχεία, όλα στριμωγμένα σε ένα. Το κακόβουλο λογισμικό πρώτα σαρώνει το τοπικό δίκτυο για μονάδες δίσκου δικτύου. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο που ονομάζεται Network Password Recovery για να αναζητήσει και να σβήσει τα διαπιστευτήρια για κοινόχρηστους φακέλους δικτύου. Η διαδικασία συνεχίζεται με τη δρομολόγηση ένα άλλου εργαλείου ανοικτού κώδικα που ονομάζεται DiskCryptor το οποίο κρυπτογραφεί τα αρχεία του χρήστη που βρέθηκαν σε διαμερίσματα του σκληρού δίσκου. Αυτό το εργαλείο στη συνέχεια χρησιμοποιείται σε συνδυασμό με την προηγούμενη σάρωση και τους κωδικούς accesss, to connect to the network drives and encrypt the data.
Finally, HDDCrypter rewrites the MBR of the disk with a custom boot loader and restarts the computer, which eventually stops in a message asking for a ransom.
Users are encouraged to contact the author of the ransomware via email, where they will receive the Bitcoin address to pay the ransom. Fraudsters ask 1 Bitcoin (about $ 610).
According to money found at one of the Bitcoin addresses mentioned in these emails, at least four people seem to have paid ransom so far, but probably there are many more since the scammers use different Bitcoin addresses.