HDDCryptor reemplaza el MBR y cifra el disco duro

El programa extorsionista HDDCryptor, también conocido como Mamba, es un cifrador que ataca el registro de arranque principal (MBR) de Windows. El cambio que introduce en el MBR hace la computadora no encuentre el sector donde está el sistema operativo y el usuario no puede utilizarlo ni acceder a sus archivos. Esta función también está presente en otros peligrosos programas maliciosos, en particular, Petya y Satana. La presencia de HDDCryptor no se hizo patente hasta hace poco, ya que nunca se lo distribuyó en campañas a gran escala. Pero a finales de agosto, el programa extorsionista llamó la atención de los investigadores de Morphus Lab y Trend Micro.

Según los expertos, HDDCryptor se distribuye a través de sitios web maliciosos. El código binario del malware puede cargarse directamente o a través de una carga útil adicional. El nombre del archivo binario consta de tres dígitos, por ejemplo, 123.exe. Al ejecutarse en el directorio raíz del equipo, descarga varios archivos, dos de ellos (netpass.exe y dcrypt.exe) son herramientas legítimas y disponibles al público. Netpass.exe es una herramienta gratuita de recuperación de contraseñas y dcrypt.exe es el archivo ejecutable de las utilidades de código abierto para cifrado de discos (DiskCryptor).

Para garantizar su que su presencia sea permanente, HDDCryptor crea un nuevo perfil de usuario “mythbusters” con la contraseña “123456” y añade un nuevo servicio, “DefragmentService” que se ejecuta cada vez que se inicia el sistema y ejecuta el binario original del cifrador. Durante su primera ejecución, netpass.exe analiza las carpetas usadas recientemente en busca de datos de cuentas. Mientras tanto, los demás componentes cifran los archivos de la víctima: uno de ellos se ocupa del disco duro, y el otro de todas las unidades de red, entre ellas las que fueron desactivadas pero siguen físicamente conectadas a la computadora. Una vez concluido el proceso de cifrado, el malware reescribe el MBR de todos los discos lógicos. A continuación, el equipo se reinicia sin la intervención del usuario y la pantalla muestra un mensaje exigiendo el pago de un rescate. Por el decodificador los delincuentes piden 700 dólares en bitcoins y tuvieron la “amabilidad” de proporcionar al usuario instrucciones muy detalladas sobre cómo y dónde comprar bitcoins. Además, prometen que después de recibir el rescate indicarán a través de qué vulnerabilidad consiguieron entrar a la computadora, para que la situación “no se repita en el futuro”. Los investigadores remarcan que la versión anterior del malware detectada en enero no daba recomendaciones tan detalladas. Después de recibir la contraseña, el usuario puede por fin iniciar la computadora.

Mientras tanto, la billetera bitcoin indicada en el mensaje ha recibido cuatro pagos. Según el investigador Renato Marinho de Morphus, su empresa fue contratada para investigar casos de infección en corporaciones multinacionales. La infección se había extendido a las computadoras de las filiales en Brasil, India y los Estados Unidos.

Fuentes: Bleepingcomputer