Нарушивший работу метро в Сан-Франциско вымогатель возобновил активность

О шифровальщике HDDCryptor (он же Mamba) стало известно в конце минувшего года после громкой атаки на агентство общественного транспорта Сан-Франциско. Тогда вымогатель инфицировал более 2 тыс. систем организации, включая панели администраторов, рабочие станции CAD, системы оплаты, SQL-базы, терминалы в отделе потерянных вещей, серверы электронной почты и печати, рабочие станции сотрудников, а также компьютеры в киосках продажи билетов. В результате атаки была парализована работа «легкого метро» Muni, из-за чего агентству пришлось целый день возить пассажиров бесплатно. За разблокировку данных операторы вымогательского ПО требовали 100 биткойнов.

После этого HDDCryptor исчез с радаров исследователей, однако в августе нынешнего года авторы вымогательского ПО вновь возобновили активность. На сей раз в сферу их интересов попали корпорации в Бразилии и Саудовской Аравии, сообщают эксперты «Лаборатории Касперского».

Схема заражения компьютерных систем организаций осталась прежней. Злоумышленники проникают в корпоративную сеть целевой организации и используют утилиту psexec для исполнения кода вымогательского ПО. Оказавшись на системе, HDDCryptor сканирует локальную сеть в поисках сетевых дисков, а затем использует утилиту Network Password Recovery для поиска и хищения учетных данных от общих сетевых папок. Далее вымогатель задействует утилиту DiskCryptor, чтобы зашифровать файлы в системе жертвы. На втором этапе HDDCryptor заменяет содержимое MBR своим загрузчиком и инициирует перезагрузку системы.

Поскольку для шифрования файлов HDDCryptor применяет легитимную утилиту DiskCryptor, использующую надежные алгоритмы шифрования, в настоящее время способов восстановить данные не существует, предупреждают исследователи.

Источник