Researchers have identified a new group of ransomware called HDDCryptor, which attacks the MBR of the Master Boot Record and prevents computers from booting after encrypting their files.
That's it HDDCryptor (or Mamba) appeared around January of 2016, according to a topic in Bleeping Computer forum, where users reported being infected.
Based on the reports so far, it appears that a recent malware campaign has delivered a new version of HDDCryptor to users around the world. The first to (re) detect the HDDCryptor was Renato Marinho, a security researcher working for Morphus Labs.
Η σύνθεση του HDDCryptor είναι κάμποσα εκτελέσιμα αρχεία, όλα στριμωγμένα σε ένα. Το κακόβουλο λογισμικό πρώτα σαρώνει το τοπικό δίκτυο για μονάδες δίσκου δικτύου. Στη συνέχεια, χρησιμοποιεί ένα δωρεάν εργαλείο που ονομάζεται Network Password Recovery για να αναζητήσει και να σβήσει τα διαπιστευτήρια για κοινόχρηστους φακέλους δικτύου. Η procedure συνεχίζεται με τη δρομολόγηση ένα άλλου εργαλείου ανοικτού κώδικα που ονομάζεται DiskCryptor το οποίο κρυπτογραφεί τα αρχεία του χρήστη που βρέθηκαν σε διαμερίσματα του σκληρού δίσκου. Αυτό το εργαλείο στη συνέχεια χρησιμοποιείται σε συνδυασμό με την προηγούμενη σάρωση και τους codeaccess, to connect to the network drives and encrypt the data.
Finally, HDDCrypter rewrites the MBR of the disk with a custom boot loader and restarts the computer, which eventually stops in a message asking for a ransom.
Users are encouraged to contact the ransomware author via e-mail, where they will receive the Bitcoin address to pay the ransom. Scammers ask for 1 Bitcoin (about $610).
According to money found at one of the Bitcoin addresses mentioned in these emails, at least four people seem to have paid ransom so far, but probably there are many more since the scammers use different Bitcoin addresses.