แรนซั่มแวร์ตัวใหม่ที่ชื่อ HDDCryptor นี้ ไม่เพียงล็อกข้อมูลบนเครื่องเท่านั้น แต่ยังเข้าไปจัดการกับข้อมูลที่แชร์กันบนเครือข่าย ไม่ว่าจะเป็นไดรฟ์, โฟลเดอร์, ไฟล์, ปริ๊นท์เตอร์ หรือการแชร์ผ่าน SMB อีกด้วย แม้จะมีรหัสผ่านในการเข้าถึงแล้วก็ตาม
ไวรัสนี้ติดต่อมาจากไฟล์ที่โหลดจากเว็บไซต์อันตราย หรือพ่วงมากับมัลแวร์อื่นๆ เมื่อติดตั้งในระบบจะปล่อยไฟล์อันตรายต่างๆ ลงในโฟลเดอร์รูท ซึ่งรวมถึงฟรีแวร์ที่ใช้กู้รหัสผ่านบนเครือข่าย (netpass.exe) ที่ถลุงรหัสจากเซสชั่นที่เปิดใช้อยู่ได้
นอกจากนี้ยังมีการสำรองแคชไฟล์บนเครือข่าย ทำให้มีข้อมูลอยู่แม้ขณะนั้นจะไม่ได้เชื่อมต่อกับไดรฟ์เครือข่ายนั้นๆ ทำให้พร้อมเข้ารหัสป่วนไฟล์แล้วนะกลับไปคัดลอกเมื่อเชื่อมต่อใหม่ได้ทันที
นอกจากจะใช้ฟรีแวร์ในการดูดรหัสผ่านแล้ว ยังมีใช้ฟรีแวร์ DiskCryptor ในการเข้ารหัสไฟล์อีกด้วย ซึ่งยูทิลิตี้ตัวนี้ยังสามารถแก้ไขข้อมูลส่วน Master Boot Record (MBR) เพื่อเปลี่ยนหน้าจอตอนเปิดเครื่องให้กลายเป็นจอดำมืดแห่งความตาย (Black Screen of Death : BkSoD) ที่ระบุรายละเอียดวิธีการชำระเงินค่าไถ่แทน
อ่านเพิ่มเติมที่นี่ – http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/
