HDDCryptor nutzt kommerzielle Tools zur Verschlüsselung von Netzwerkfreigaben

Originalbeitrag von Stephen Hilt und William Gamazo Sanchez


Die meiste Ransomware zielt auf bestimmte Dateitypen oder Verzeichnisse, die auf lokalen Laufwerken liegen, auf Wechselmedien und Netzwerkfreigaben. Doch nun tauchte eine Ransomware-Familie auf, die keine Unterschiede macht. HDDCryptor (Ransom_HDDCRYPTOR.A) avisiert nicht nur Ziele in Netzwerkfreigaben wie Laufwerke, Verzeichnisse, Dateien, Drucker und Ports über Server Message Block (SMB), sondern verschlüsselt auch das Laufwerk.

Diese schädliche Routine macht die Ransomware zu einer ernsten Gefahr für Privatanwender und Unternehmen.

Bild 1. Erpressernachricht; HDDCryptor nutzt eine hartcodierte Malware ID (123141), dieven Schluss zulässt, dass der Angreifer nur einen einzigen Entschlüsselungs-Key verwendet.

Infektionsvektor und Installation

HDDCryptor kann ein System infizieren, indem der Schädling als Executable von einer bösartigen Website heruntergeladen oder als Datei durch andere Malware abgelegt wird. Die Ransomware wird über das Ablegen verschiedener Komponenten – sowohl legaler als auch bösartiger – im Root-Verzeichnis installiert:

  • dcapi.dll (Ransom_HDDCRYPTOR.A)
  • dccon.exe (für die Verschlüsselung des Laufwerks)
  • dcrypt.exe
  • dcrypt.sys
  • log_file.txt (loggt die Aktivitäten der Malware)
  • Mount.exe (scannt gemappte Laufwerke und verschlüsselt darauf gespeicherte Dateien)
  • netpass.exe (sucht nach Netzwerkverzeichnissen, auf die vorher zugegriffen wurde)
  • netuse.txt (speichert Informationen über gemappte Netzwerklaufwerke)
  • netpass.txt (speichert Nutzerpasswörter)

Zu Zwecken der Persistenz fügt die Malware einen Service namens DefragmentService hinzu und führt ihn über die Befehlszeile aus.

Verschlüsselung gemappter Netzwerk-Laufwerke

Das netzwerkbezogene Verhalten von HDDCryptor ist flüchtig. Es wurden keine Verbreitungsroutinen gefunden, während in anderen Samples Routinen zur Verschlüsselung des Netzwerks entdeckt wurden. Weitere technische Details liefert der Originalbeitrag.

HDDCryptor verwendet Verschlüsselung auf der Dateiebene der Platten und des Netzwerks über DiskCryptor, eine quelloffene Plattenverschlüsselungssoftware, die AES-, Twofish- und Serpent-Algorithmen nutzt, einschließlich ihrer Kombinationen. Mithilfe von DiskCryptor wird auch der Master Boot Record (MBR) überschrieben und ein modifizierter Bootloader eingesetzt, um die Erpressernachricht statt des normalen Login-Bildschirms anzuzeigen.

In einigen untersuchten Fällen wurde das System nach zwei Stunden voller Plattenaktivität, währenddessen das Laufwerk verschlüsselt wird, gewaltsam neu gestartet (ohne Nutzeraktion), in anderen wurde die Maschine zweimal neu gestartet.

Interessanterweise ist die Kopie des von den analysierten Samples abgelegten DiskCryptor dieselbe Datei, die auf der Download-Seite des DiskCryptor verfügbar ist. Abgesehen von abgelaufenen Zertifikaten wurde die Software seit dem 7. September 2014 nicht mehr aktualisiert. Im Gegensatz dazu scheinen die Hintermänner von HDDCryptor eine modifizierte Version von netpass.exe zu verwenden. Die Eigenschaften der abgelegten Version wie Versionsinformationen waren in den Binaries nicht vorhanden.

HDDCryptor, wie Ransomware as a Service (RaaS), zeigt, wie weit man mit wenig Mühe kommen kann. HDDCryptor verwendet vorhandene Software, um ihr ruchloses Werk zu verrichten.

Trend Micro Ransomware-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Ransomware Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken. Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltensmonitoring oder Echtzeit-Webreputationsdienste, um gegen Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Nutzer können auch die kostenlosen Tools wie Trend Micro Lock Screen Ransomware Tool nutzen, das Screen Locker Ransomware erkennt und entfernt. Das Trend Micro Crypto-Ransomware File Decryptor Tool wiederum kann bestimmte Varianten von Crypto-Ransomware entschlüsseln.

Zugehörige Hashes der Ransom_HDDCRYPTOR.A:
SHA-1:
177843629CD1DC4345B03E48574EED12D0551CE6
263D14F535C264AA254FBEE0B66E94A32C156A4C
4080BB3A28C2946FD9B72F6B51FE15DE74CBB1E1
719C3B897826169190FFCAF8EC111E78ACD1613E
C63AFCE8C54362A6D626F660C3A15CEC3E723C1C
6A5250A24439CB760E91C228B56D991A717E556A

SHA-256:
e141f564003773d4fe3ef462458a041a871699fb7dc646632cf00afac4870779
1b44a3b1dec865a96e44f2b556f19682fd844ebe3e7b0577bd7e58d307fcba4f
2ecc525177ed52c74ddaaacd47ad513450e85c01f2616bf179be5b576164bf63

Zusätzliche Analysen von Sasha Hellberg, Byron Gelera, Fernando Merces und Lord Remorin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*