HDDCryptor écrase le MBR et chiffre le disque dur

Le ransomware HDDCryptor, connu également sous le nom de Mamba, est un petit nouveau qui attaque l’enregistrement de démarrage principal (MBR) de l’ordinateur Windows. Suite à la modification du MBR, l’ordinateur ne trouve pas le secteur dans lequel se trouve le système d’exploitation et l’utilisateur ne peut donc pas utiliser l’ordinateur et accéder à ses fichiers. Cette fonction est présente chez d’autres malwares dangereux, dont Petya et Satana. HDDCryptor n’avait pas fait parler de lui jusqu’il y a peu car il n’avait jamais été diffusé dans le cadre d’une campagne de grande envergure. Mais à la fin du mois d’août, le ransomware a attiré l’attention de chercheurs de chez Morphus Lab et Trend Micro.

D’après les experts, HDDCryptor se propage via des sites malveillants. Le code binaire du malware peut être téléchargé directement ou via une charge utile auxiliaire. Le nom du fichier binaire malveillant se compose de trois chiffres, par exemple 123.exe. Son exécution dans le répertoire racine de l’ordinateur entraîne le téléchargement de plusieurs fichiers, dont netpass.exe et dcrypt.exe qui sont deux outils légitimes en libre circulation. Netpass.exe est un outil gratuit de récupération de mot de passe tandis que dcrypt.exe est le fichier exécutable d’un utilitaire open source de chiffrement de disque (DiskCryptor).

Pour garantir sa persistance, HDDCryptor crée le profil utilisateur « mythbusters » avec le mot de passe « 123456 » et ajoute le nouveau service « DefragmentService » qui sera lancé à chaque chargement du système et qui invoque le fichier binaire original du ransomware. Au premier lancement, netpass.exe analyse les dossiers consultés récemment et recherche des identifiants. Au même moment, d’autres composants chiffrent les fichiers de la victime : l’un d’entre eux s’occupe du disque dur tandis qu’un autre agit sur les disques amovibles, y compris ceux qui ont été éjectés mais qui sont toujours physiquement connectés à l’ordinateur. Une fois le chiffrement terminé, le malware écrase le MBR de tous les disques logiques ; ensuite, l’ordinateur redémarre sans aucune intervention de l’utilisateur et la demande de rançon s’affiche. Pour le déchiffrement, les individus malintentionnés exigent le montant de 700 dollars américains en bitcoins. Ils ont même pris soin de fournir à l’utilisateur des instructions détaillées sur la manière d’acheter des bitcoins. De plus, ils promettent d’expliquer, après le paiement, la manière dont ils ont réussi à infecter l’ordinateur et ce, pour éviter à la victime de « revivre une situation similaire à l’avenir ». Comme l’indiquent les chercheurs, la version de janvier du ransomware ne contenait pas de recommandations aussi poussées. Après avoir obtenu le mot de passe, l’utilisateur peut enfin démarrer son ordinateur.

Le portefeuille bitcoin renseigné dans la demande de rançon a reçu entretemps quatre paiements. D’après Renato Marinho, chercheur chez Morphus, la société pour laquelle il travaille a été engagée pour enquêter sur un cas d’infections dans une multinationale ; l’infection avait touché des ordinateurs dans des succursales au Brésil, en Inde et aux Etats-Unis.

Fonte: Bleepingcomputer

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *