Bienvenido a Tecnohackers

Tecnohackers » Hacking y Seguridad » Hacking » Malware (Troyanos, virus, keylogger, stealer, rootkit, worm...) (Moderador: LaFamily)
 » 

HDDCryptor ransomware bloquea el registro de arranque de la unidad de disco duro



Autor Tema: HDDCryptor ransomware bloquea el registro de arranque de la unidad de disco duro  (Leído 1178 veces)

Conectado zolo

  • Consigliere
  • Master
  • *****
  • Mensajes: 22729
  • Un Mes, Un Año o Toda Una Vida, Da Igual, Estare
Los investigadores han descubierto una nueva familia ransomware que ataca el MBR de un disco duro (Master Boot Record) y evita que las PC no se inicien después de cifrar sus archivos.

De esto uno llamado HDDCryptor (o Mamba) ha estado presente desde enero del 2016, de acuerdo con Bleeping Computer en su foro donde los usuarios informaron de sus infecciones.

Técnicamente, HDDCryptor está antes de overhyped Petya , y más tarde de las familias de ransomware Satana familias, que tuvieron mucho más atención de parte de los medios, aunque se comportaron de la misma manera, al reescribir el MBR y prevenir el arranque de la PC.

Nueva ola de infecciones de HDDCryptor

Sobre la base de los informes disponibles, parece que una campaña de distribución de malware reciente ha sido la entrega de una nueva versión de HDDCryptor a los usuarios en todo el mundo.

El primero de (re) detectar HDDCryptor es Renato Marinho , un investigador de seguridad para Morphus Labs, quien dijo que su empresa fue llamado para investigar una infección de HDDCryptor masivo en una multinacional, que afectó a su sede en los EE.UU., Brasil y la India.

El análisis técnico inicial de Marinho fue seguida unos días después por uno de los analistas de Trend Micro.

De acuerdo con ambos, las infecciones con HDDCryptor comienzan cuando los usuarios acceden a un sitio web malicioso y descargan archivos infectados con malware en sus PC. Estos archivos están infectados con cualquier variante de HDDCryptor o vienen con un programa malicioso intermediario que ofrece HDDCryptor en una etapa posterior, cuando los ladrones están seguros de que tienen la persistencia de arranque en el equipo infectado.

HDDCryptor utiliza herramientas de código abierto para atacar y bloquear las PCs

La carga útil real de HDDCryptor son varios binarios amontonados en una sola. Cuando se ejecuta el binario más extenso, carga otros archivos en el ordenador del usuario y los lanza en un orden determinado.

HDDCryptor primero escanea la red local en busca de las unidades de la red. A continuación, utiliza una herramienta gratuita Network Password Recovery  para buscar y volcar credenciales en carpetas de red compartidas, pasadas o presentes.

El proceso continúa con el lanzamiento de una herramienta de código abierto llamada DiskCryptor para cifrar los archivos del usuario que se encuentran en las particiones del disco duro. Esta herramienta se utiliza en conjunción con la exploración y contraseñas anteriores para conectar unidades de red y encriptar los datos también.

El Ransomware es eficiente, algunas personas ya pagaron

Al final, HDDCrypter reescribe el MBR con un cargador de arranque personalizado y reinicia el equipo, que luego se queda congelado en una nota de rescate como el de abajo.

Anima a los usuarios a ponerse en contacto con el autor del ransomware a través del correo electrónico, donde recibirá la dirección Bitcoin dónde se pagará la nota de rescate. Los delincuentes están actualmente pidiendo 1 Bitcoin (~ $ 610).

De acuerdo con los fondos que se encuentran en una de las direcciones Bitcoin compartidos en estos correos electrónicos, al menos cuatro personas parecen haber pagado la tasa de rescate hasta ahora, pero es probable que haya más si los ladrones utilizan diferentes direcciones Bitcoin.


Fuente: JoseAsuncion / forospyware.com
You are not allowed to view links. Register or Login

Tags:
Tags:

 


SMF 2.0.11 | SMF © 2015, Simple Machines
Paginas Afiliadas
Twitter - FaceBook - Daraxblog
Designed by Smf Personal