Специалисты обнаружили новое семейство приложений-вымогателей, которое нацелено на главную загрузочную запись жёсткого диска (MBR) и не позволяет компьютерам загружаться, зашифровывая их файлы. Приложение HDDCryptor (другое название - Mamba) функционирует с нынешнего января, о чём сказано на форуме компании Bleeping Computer.
Вымогатель HDDCryptor появился раньше более известных вымогателей Petya и Satana, работая примерно так же. Недавняя кампания по распространению вымогателя пользователям по всему миру доставляла новую версию программы. Первым её заметил исследователь Ренато Мариньо из Morphus Labs, зафиксировав случаи распространения в США, Бразилии и Индии. Далее сходный технический анализ выпустила компания Trend Micro.
В отчётах сказано, что пользователи заходят на определённый веб-сайт и скачивают содержащий вредоносный код файлы. Файлы содержат HDDCryptor или промежуточное ПО, которое скачает вымогатель позднее. Когда запускается основной исполняемый файл, на компьютер устанавливается ряд других файлов и запускаются в определённом порядке.
Для начала HDDCryptor сканирует локальную сеть на наличие сетевых дисков. Затем бесплатный инструмент Network Password Recovery ищет и собирает данные общих папок. Ещё один бесплатный инструмент (DiskCryptor) шифрует пользовательские файлы на жёстком диске и на сетевых дисках. Напоследок HDDCrypter перезаписывает MBR и перезапускает компьютер, показывая записку с требованием выкупа. Выкуп составляет 1 биткоин (около $610).