Infos

HDDCryptor écrase le MBR et chiffre le disque dur

Le ransomware HDDCryptor, connu également sous le nom de Mamba, est un petit nouveau qui attaque l’enregistrement de démarrage principal (MBR) de l’ordinateur Windows. Suite à la modification du MBR, l’ordinateur ne trouve pas le secteur dans lequel se trouve le système d’exploitation et l’utilisateur ne peut donc pas utiliser l’ordinateur et accéder à ses fichiers. Cette fonction est présente chez d’autres malwares dangereux, dont Petya et Satana. HDDCryptor n’avait pas fait parler de lui jusqu’il y a peu car il n’avait jamais été diffusé dans le cadre d’une campagne de grande envergure. Mais à la fin du mois d’août, le ransomware a attiré l’attention de chercheurs de chez Morphus Lab et Trend Micro.

D’après les experts, HDDCryptor se propage via des sites malveillants. Le code binaire du malware peut être téléchargé directement ou via une charge utile auxiliaire. Le nom du fichier binaire malveillant se compose de trois chiffres, par exemple 123.exe. Son exécution dans le répertoire racine de l’ordinateur entraîne le téléchargement de plusieurs fichiers, dont netpass.exe et dcrypt.exe qui sont deux outils légitimes en libre circulation. Netpass.exe est un outil gratuit de récupération de mot de passe tandis que dcrypt.exe est le fichier exécutable d’un utilitaire open source de chiffrement de disque (DiskCryptor).

Pour garantir sa persistance, HDDCryptor crée le profil utilisateur « mythbusters » avec le mot de passe « 123456 » et ajoute le nouveau service « DefragmentService » qui sera lancé à chaque chargement du système et qui invoque le fichier binaire original du ransomware. Au premier lancement, netpass.exe analyse les dossiers consultés récemment et recherche des identifiants. Au même moment, d’autres composants chiffrent les fichiers de la victime : l’un d’entre eux s’occupe du disque dur tandis qu’un autre agit sur les disques amovibles, y compris ceux qui ont été éjectés mais qui sont toujours physiquement connectés à l’ordinateur. Une fois le chiffrement terminé, le malware écrase le MBR de tous les disques logiques ; ensuite, l’ordinateur redémarre sans aucune intervention de l’utilisateur et la demande de rançon s’affiche. Pour le déchiffrement, les individus malintentionnés exigent le montant de 700 dollars américains en bitcoins. Ils ont même pris soin de fournir à l’utilisateur des instructions détaillées sur la manière d’acheter des bitcoins. De plus, ils promettent d’expliquer, après le paiement, la manière dont ils ont réussi à infecter l’ordinateur et ce, pour éviter à la victime de « revivre une situation similaire à l’avenir ». Comme l’indiquent les chercheurs, la version de janvier du ransomware ne contenait pas de recommandations aussi poussées. Après avoir obtenu le mot de passe, l’utilisateur peut enfin démarrer son ordinateur.

Le portefeuille bitcoin renseigné dans la demande de rançon a reçu entretemps quatre paiements. D’après Renato Marinho, chercheur chez Morphus, la société pour laquelle il travaille a été engagée pour enquêter sur un cas d’infections dans une multinationale ; l’infection avait touché des ordinateurs dans des succursales au Brésil, en Inde et aux Etats-Unis.

Fonte: Bleepingcomputer

HDDCryptor écrase le MBR et chiffre le disque dur

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception