Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

HDDCryptor verschlüsselt nicht nur Daten, sondern überschreibt offensichtlich auch den MBR von Windows-Computern und gibt infizierte Rechner erst nach einer Lösegeld-Zahlung wieder frei, warnen Sicherheitsforscher.

In Pocket speichern vorlesen Druckansicht 160 Kommentare lesen
Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

(Bild: Blue Coat Photos, CC BY-SA 2.0 )

Lesezeit: 2 Min.

Der Verschlüsselungs-Trojaner HDDCryptor existiert den Ransomware-Experten von Bleepingcomputer.com bereits seit Januar dieses Jahres, soll sich aber erst jetzt vermehrt verbreiten. Neben der Verschlüsselung von Daten soll der Schädling sich auch am Master Boot Record (MBR) von Computern zu schaffen machen und Opfer so aussperren. Das berichtet der Sicherheitsforscher Renato Marinho von den Morphus Labs im Ergebnis seiner Analyse.

HDDCryptor soll es auf Windows-Computer abgesehen haben und sich unter anderem als Drive-by-Download verbreiten. Um sein Schadenswerk zu verrichten, setzt der Schädling ferner auf die legitimen Open-Source-Tools DiskCryptor und Netpass.

Netpass nutzt HDDCryptor Marinho zufolge dafür, um Zugangsdaten von Netzwerk-Ordnern zu extrahieren. Anschließend verschlüssele der Trojaner lokale Daten und Dateien von Netzwerk-Freigaben mit DiskCryptor. Um sich im Windows-System einzunisten, lege der Schädling zudem einen neuen Nutzer-Account mit dem Namen „mythbuster“ an und startet einen Service, um verschiedene Malware-Komponenten zu laden.

Nach der VerschlĂĽsselung von Daten soll der Erpressungs-Trojaner den MBR von allen Partitionen ĂĽberschreiben. Ob davon auch GUID-Partitionstabellen (GPT) von UEFI-Systemen bedroht sind, ist nicht bekannt.

Startet ein Opfer anschließend einen infizierten Computer, bricht der Startvorgang an früher Stelle ab und anstatt Windows erscheint die Erpresser-Botschaft. Die Kriminellen fordern 1 Bitcoin (rund 545 Euro) für die Freigabe eines Computers. Marinho hat sich das Bitcoin Wallet der Drahtzieher hinter HDDCryptor angeschaut und er geht davon aus, dass aktuell vier Opfer das Lösegeld gezahlt haben.

Dass ein Erpressungs-Trojaner den Zugriff auf Computer sperrt, ist heutzutage selten, aber nichts Neues: Bereits im März dieses Jahres riegelte Petya Computer von Opfern ab. (des)