雖然趨勢科技所看到的大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)只針對儲存在本地磁碟、可移除式媒體和網路分享上的特定檔案類型或資料夾,我們也發現到有些勒索病毒並不挑剔:HDDCryptor。被偵測為Ransom_HDDCRYPTOR.A的HDDCryptor不僅會針對網路分享的資源,如透過伺服器訊息區塊(SMB)分享的磁碟、資料夾、檔案、印表機和序列端口,還會鎖住磁碟。這種破壞性作法讓此勒索病毒成為家庭用戶及企業嚴重而真實的威脅。
感染媒介和安裝方式
HDDCryptor可能是透過無意間從惡意網站下載或是經由其他惡意軟體所帶來的方式感染系統。這個勒索病毒的安裝方式是將數個組件(正常或惡意的都有)植入系統的根目錄:
- dll(偵測為Ransom_HDDCRYPTOR.A)
- exe(用來加密磁碟)
- exe
- sys
- txt(惡意軟體活動日誌)
- EXE(掃描掛載中的網路磁碟和加密儲存在上面的檔案)
- exe(用來掃描之前存取過的網路資料夾)
- txt(用來儲存關於掛載網路磁碟的資訊)
- txt(用來儲存使用者密碼)
它還會加入一個名為DefragmentService的服務並且透過命令行加以執行,好持續存活在系統內。