Para peneliti telah melihat sebuah keluarga ransomware baru yang menyerang MBR hard drive (Master Boot Record) dan mencegah PC dari boot up, setelah mengenkripsi file penyerang. Ransomware tersebut adalah HDDCryptor (atau Mamba) dan telah ada sejak Januari 2016, menurut sebuah forum topik Bleeping Computer.


Secara teknis, HDDCryptor mendapatkan lebih banyak perhatian media karena kemampuannya menulis ulang MBR dan mencegah PC melakukan booting. Berdasarkan laporan, tampak bahwa kampanye distribusi malware baru-baru ini telah memberikan versi baru dari HDDCryptor untuk pengguna di seluruh dunia.

Yang pertama mendeteksi HDDCryptor adalah Renato Marinho, seorang peneliti keamanan Morphus Labs, yang mengatakan perusahaannya dipanggil untuk menyelidiki infeksi HDDCryptor besar di sebuah perusahaan multinasional, yang mempengaruhi kantor pusat di AS, Brazil, dan India. Infeksi HDDCryptor dimulai dengan pengguna yang mengakses situs web berbahaya dan men-download file malware pada PC mereka. File-file ini terinfeksi HDDCryptor langsung atau datang melalui malware perantara.

HDDCryptor pertama memindai jaringan lokal jaringan, kemudian menggunakan alat gratis yang disebut Network Password Recovery untuk mencari dan dump credentials folder jaringan yang ada. Proses berlanjut dengan DiskCryptor untuk mengenkripsi file pengguna yang ditemukan pada partisi hard drive. Alat ini kemudian digunakan untuk scan password yang terhubung ke drive jaringan dan mengenkripsi data yang ada.

Pada akhirnya, HDDCrypter menulis ulang MBR dengan boot loader kustom dan restart komputer yang kemudian memperlihatkan sebuah catatan tebusan. Korban didorong untuk menghubungi penulis ransomware melalui email, di mana mereka akan menerima alamat Bitcoin untuk membayar tebusan. Penjahat saat meminta 1 Bitcoin (~ $ 610).
 
Top