ΑρχικήinetKillDisk Malware: Νέα παραλλαγή στοχεύει χρηματοπιστωτικές εταιρείες

KillDisk Malware: Νέα παραλλαγή στοχεύει χρηματοπιστωτικές εταιρείες

Μια νέα έκδοση του KillDisk malware έπληξε εταιρείες στον χρηματοπιστωτικό τομέα της Λατινικής Αμερικής, όπως ανέφερε χθες η Trend Micro. Ακριβώς όπως και στις προηγούμενες εκδόσεις, το KillDisk σκόπιμα διαγράφει αρχεία όμως τώρα συμπεριλαμβάνει και ένα σημείωμα το οποίο προσπαθεί να ξεγελάσει τους χρήστες ενημερώνοντας τους οτι έχουν μολυνθεί με ransomware.

 

Το KillDisk είναι ένα από τα πιο κακόβουλα malware που υπάρχουν στο διαδίκτυο. Το συγκεκριμένο αναπτύχθηκε και χρησιμοποιήθηκε κυρίως από μια ρωσική ομάδα ηλεκτρονικής κατασκοπείας γνωστή ως Telebots. Αυτή είναι η ίδια ομάδα που δημιούργησε το Sandworm λογισμικό που επιτέθηκε σε βιομηχανικό εξοπλισμό στις ΗΠΑ, το Blackenergy malware που χρησιμοποιήθηκε για επιθέσεις κατά του ηλεκτρικού δικτύου της Ουκρανίας και το ransomware NotPetya που έπληξε πολλές εταιρείες τον Ιούνιο του 2017. Το KillDisk αναπτύχθηκε αρχικά ως malware που διέγραφε δεδομένα όμως αργότερα οι επιτιθέμενοι ξεκίνησαν να το χρησιμοποιούν για να κρύψουν τα στοιχεία τους και να τα διαγράφουν για να μην μπορούν να εντοπιστούν.

Οι νέες επιθέσεις του KillDisk στοχεύουν χρηματοπιστωτικές εταιρείες κυρίως στην Λατινική Αμερική. O τρόπος που δρα παραμένει σχεδόν ο ίδιος, όταν εγκατασταθεί σε έναν υπολογιστή και φορτωθεί στη μνήμη, θα διαγράψει τα αρχεία του από το δίσκο και θα μετονομαστεί. Στη συνέχεια θα αντικαταστήσει τους πρώτους 20 τομείς του Master Boot Record(MBR) σε κάθε συσκευή αποθήκευσης, με 0x00 byte. Μετά από αυτό θα ξαναγράψει τα πρώτα 2800 byte κάθε αρχείου με τα ίδια 0x00 byte σε κάθε σταθερή και αφαιρούμενη μονάδα αποθήκευσης. Τα μοναδικά δεδομένα που παραμένουν άθικτα είναι τα αρχεία και οι φάκελοι που βρίσκονται στους ακόλουθους καταλόγους (WINNT, Users, Windows, Program Files, Program Files, ProgramDataRecovery (case-sensitive check), $Recycle.Bin, System Volume Information, old, PerfLogs).

Στη συνέχεια, το KillDisk ξεκινά ένα χρονοδιακόπτη 15 λεπτών και τερματίζει τις εφαρμογές (csrss.exe, wininit.exe, winlogon.exe, lsass.exe). Επειδή αυτές είναι σημαντικές διαδικασίες για τα Windows, στο μηχάνημα του χρήστη είτε θα εμφανιστεί BSOD, είτε θα επανεκκινήσει με βίαιο τρόπο χωρίς την επιλογή του. Μόλις γίνει επανεκκίνηση του συστήματος, ο χρήστης δεν θα μπορέσει να χρησιμοποιήσει τον υπολογιστή του εκτός αν επιδιορθώσει τα κατεστραμμένα αρχεία MBR. Όταν ο διαχειριστής του συστήματος διερευνά το πρόβλημα θα βρει το σημείωμα-ransomware κάνοντας τον να  πιστεύει ότι το σύστημα έχει κλειδώσει από αυτό. Το αποτέλεσμα συνήθως είναι είτε επαναφορά από προηγούμενα αντίγραφα ασφαλείας των Windows, είτε format και νέα εγκατάσταση, καταστρέφοντας έτσι οποιαδήποτε στοιχεία υπήρχαν για την προέλευση του Killdisk malware.

 

 

Nat BotPak
Nat BotPak
LIFE IS TOO SHORT to remove usb safely

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS