Ransomware overschrijft MBR en versleutelt harde schijven

[Captain Kirk]

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat de volledige harde schijf versleutelt, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf, waardoor het systeem niet meer start.

HDDCryptor, zoals de ransomware wordt genoemd, kan via kwaadaardige websites of al aanwezige malware op de computer worden verspreid. Eenmaal actief zoekt de ransomware naar aangesloten netwerkschijven en versleutelt alle bestanden op deze schijven. Ook zoekt het naar netwerkschijven waar eerder verbinding mee is gemaakt. Via het programma netpass.exe probeert het de inloggegevens voor deze schijven te stelen, zodat het vervolgens zelf toegang kan krijgen en de aanwezige bestanden kan versleutelen. Netpass is een freeware-programma voor het achterhalen van netwerkwachtwoorden.

De versleuteling van de harde schijf vindt plaats via DiskCryptor, een opensourceversleutelingsprogramma. Via deze software wordt ook de MBR van de harde schijf overschreven. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. Slachtoffers kunnen het systeem dan ook niet meer starten. Om slachtoffers toch instructies te geven hoe ze het losgeld voor het ontsleutelen kunnen betalen voegt de ransomware een aangepaste bootloader toe. Zodra de computer wordt gestart toont deze bootloader de instructies.

Volgens het Japanse anti-virusbedrijf Trend Micro maakt de ransomware op alle besmette systemen van hetzelfde malware-id gebruik, wat suggereert dat er één decryptiesleutel is om alle systemen te ontsleutelen. Deze decryptiesleutel is echter nog niet achterhaald.

 

 

bron: security.nl