News

HDDCryptor reemplaza el MBR y cifra el disco duro

El programa extorsionista HDDCryptor, también conocido como Mamba, es un cifrador que ataca el registro de arranque principal (MBR) de Windows. El cambio que introduce en el MBR hace la computadora no encuentre el sector donde está el sistema operativo y el usuario no puede utilizarlo ni acceder a sus archivos. Esta función también está presente en otros peligrosos programas maliciosos, en particular, Petya y Satana. La presencia de HDDCryptor no se hizo patente hasta hace poco, ya que nunca se lo distribuyó en campañas a gran escala. Pero a finales de agosto, el programa extorsionista llamó la atención de los investigadores de Morphus Lab y Trend Micro.

Según los expertos, HDDCryptor se distribuye a través de sitios web maliciosos. El código binario del malware puede cargarse directamente o a través de una carga útil adicional. El nombre del archivo binario consta de tres dígitos, por ejemplo, 123.exe. Al ejecutarse en el directorio raíz del equipo, descarga varios archivos, dos de ellos (netpass.exe y dcrypt.exe) son herramientas legítimas y disponibles al público. Netpass.exe es una herramienta gratuita de recuperación de contraseñas y dcrypt.exe es el archivo ejecutable de las utilidades de código abierto para cifrado de discos (DiskCryptor).

Para garantizar su que su presencia sea permanente, HDDCryptor crea un nuevo perfil de usuario “mythbusters” con la contraseña “123456” y añade un nuevo servicio, “DefragmentService” que se ejecuta cada vez que se inicia el sistema y ejecuta el binario original del cifrador. Durante su primera ejecución, netpass.exe analiza las carpetas usadas recientemente en busca de datos de cuentas. Mientras tanto, los demás componentes cifran los archivos de la víctima: uno de ellos se ocupa del disco duro, y el otro de todas las unidades de red, entre ellas las que fueron desactivadas pero siguen físicamente conectadas a la computadora. Una vez concluido el proceso de cifrado, el malware reescribe el MBR de todos los discos lógicos. A continuación, el equipo se reinicia sin la intervención del usuario y la pantalla muestra un mensaje exigiendo el pago de un rescate. Por el decodificador los delincuentes piden 700 dólares en bitcoins y tuvieron la “amabilidad” de proporcionar al usuario instrucciones muy detalladas sobre cómo y dónde comprar bitcoins. Además, prometen que después de recibir el rescate indicarán a través de qué vulnerabilidad consiguieron entrar a la computadora, para que la situación “no se repita en el futuro”. Los investigadores remarcan que la versión anterior del malware detectada en enero no daba recomendaciones tan detalladas. Después de recibir la contraseña, el usuario puede por fin iniciar la computadora.

Mientras tanto, la billetera bitcoin indicada en el mensaje ha recibido cuatro pagos. Según el investigador Renato Marinho de Morphus, su empresa fue contratada para investigar casos de infección en corporaciones multinacionales. La infección se había extendido a las computadoras de las filiales en Brasil, India y los Estados Unidos.

Fuentes: Bleepingcomputer

HDDCryptor reemplaza el MBR y cifra el disco duro

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada