Erpressungs-Trojaner HDDCryptor soll Computer von Opfern abriegeln

Der Verschlüsselungs-Trojaner HDDCryptor existiert den Ransomware-Experten von Bleepingcomputer.com bereits seit Januar dieses Jahres, soll sich aber erst jetzt vermehrt verbreiten. Neben der Verschlüsselung von Daten soll der Schädling sich auch am Master Boot Record (MBR) von Computern zu schaffen machen und Opfer so aussperren. Das berichtet der Sicherheitsforscher Renato Marinho von den Morphus Labs im Ergebnis seiner Analyse.

Missbrauch von Open-Source-Tools

HDDCryptor soll es auf Windows-Computer abgesehen haben und sich unter anderem als Drive-by-Download verbreiten. Um sein Schadenswerk zu verrichten, setzt der Schädling ferner auf die legitimen Open-Source-Tools DiskCryptor und Netpass.

Netpass nutzt HDDCryptor Marinho zufolge dafür, um Zugangsdaten von Netzwerk-Ordnern zu extrahieren. Anschließend verschlüssele der Trojaner lokale Daten und Dateien von Netzwerk-Freigaben mit DiskCryptor. Um sich im Windows-System einzunisten, lege der Schädling zudem einen neuen Nutzer-Account mit dem Namen „mythbuster“ an und startet einen Service, um verschiedene Malware-Komponenten zu laden.

Nach der Verschlüsselung von Daten soll der Erpressungs-Trojaner den MBR von allen Partitionen überschreiben. Ob davon auch GUID-Partitionstabellen (GPT) von UEFI-Systemen bedroht sind, ist nicht bekannt.

Erste Lösegeld-Zahlungen verzeichnet

Startet ein Opfer anschließend einen infizierten Computer, bricht der Startvorgang an früher Stelle ab und anstatt Windows erscheint die Erpresser-Botschaft. Die Kriminellen fordern 1 Bitcoin (rund 545 Euro) für die Freigabe eines Computers. Marinho hat sich das Bitcoin Wallet der Drahtzieher hinter HDDCryptor angeschaut und er geht davon aus, dass aktuell vier Opfer das Lösegeld gezahlt haben.

Dass ein Erpressungs-Trojaner den Zugriff auf Computer sperrt, ist heutzutage selten, aber nichts Neues: Bereits im März dieses Jahres riegelte Petya Computer von Opfern ab. (des)