Die berüchtigte Mamba Ransomware, die die die San Francisco Municipal Transportation Agency gelähmt zurück in 2016 hat wieder aufgetaucht. Diesmal ist die Verbrecher hinter dem die groß angelegten Angriffen haben ihre Aufmerksamkeit auf Unternehmen auf der ganzen Welt neu ausgerichtet.
Mamba Ransomware reaktiviert Once Again
Eines der bekannten Viren, die in einer neuen Großangriff Kampagne wieder aufgetaucht ist die berüchtigte Mamba Ransomware. Sicherheitsexperten bemerken die einlaufende Welle in einer Reihe von Einbruchsversuchen gegen Unternehmen weltweit. Der verschobene Fokus scheint eine neue Strategie entwickelt, die von den Kriminellen hinter der Kampagne wird. Es ist nicht, wenn der aktuelle Angriff bekannt durch die gleichen Verbrecher unterstützt wird wie bisher oder ein neues Kollektiv entstanden. Die Mamba Ransomware in erster Linie für seine Malware HDDCRyptor bekannt war in der Lage verheerende Angriffe von San Francisco U-Bahn im vergangenen Jahr verursachen.
Die ersten großen mit der Gefahr verbunden sind Angriffe geschahen im September 2016 wenn Experten aus Morphus Labs aufmerksam gemacht, dass die Virusproben wurden im Besitz von einem großen Energieunternehmen in Brasilien auf Systeme entdeckt, die auch Niederlassungen in den Vereinigten Staaten und Indien hat.
Mamba Ransomware Angriff Unternehmen weltweit
Die Sicherheitsexperten zeigen, dass die ersten Opfer der Anschläge scheinen große Unternehmen und Unternehmen Büros zu sein gelegen in Brasilien und Saudi-Arabien. Es wird erwartet, dass die Liste auch auf andere Länder und Regionen wachsen kann.
Mamba Ransomware folgt den bekannten Angriffsvektoren assoziiert mit früheren Versionen. Es verwendet ein zweistufigen Infektionsmuster, das zuerst das Computer-Netzwerk zu infiltrieren sucht. Wenn dies geschehen ist die psexec Dienstprogramm wird verwendet, um die Malware auf den Ziel-Hosts auszuführen. Die vollständige Analyse zeigt, dass die Proben Mamba Ransomware die Umgebung auf dem System eingerichtet, wie durch den Hacker definiert:
- Die Vorbereitungsphase erstellt einen Ordner auf der Haupt-Systempartition (C:) namens “xampp” und ein Unterverzeichnis “http”. Dies ist ein Hinweis auf das berühmte Paket Web-Hosting häufig von Systemadministratoren verwendet. Einrichten einen Pfades so kann eine berechtigte XAMPP-Installation mit einem Web-Server angeben. Da die Ziel-Hosts installiert wahrscheinlich Dienste haben würde dieser Verdacht nicht erhöhen.
- Die DiskCryptor Dienstprogramm wird dann in den neuen Ordner kopiert und die spezialisierte Windows-Treiber auf dem Computer installiert Opfer. Ein Dienst wird als Systemdienst registriert genannt DefragmentService. Sobald dies die Maschine durchgeführt wird, wird neu gestartet und der Mamba Ransomware-Dienst gestartet.
- Als nächstes wird der Verschlüsselung Prozess gestartet. Da der DiskCryptor Dienst beim Booten Dienst gestartet wird, ist es in der Lage, den Bootloader und wirken sich auf alle verfügbaren Systempartitionen falsch konfigurieren.
Während der Infektion Phase, die die Virusernten detaillierte Informationen über den Host-Computer. Je nach Hardware-Komponenten und Software-Konfiguration einer 32 oder 64-Bit-Version gewählt werden. Die Analysten entdeckt, dass die Mambo Ransomware Proben, die die DiskCryptor Dienstprogramm Privilegien gewähren für alle kritischen Komponenten des Betriebssystems zugreifen.
Sobald alle Schritte der Bootloader wird gelöscht und das Betriebssystem ist nicht mehr zugänglich gemacht wurden. Die Mamba Ransomware-Nachricht wird in den überschrieben loader fest einprogrammiert selbst. Einer der erfassten Proben liest die folgende Anmerkung:
Ihre Daten verschlüsselt, Contctwith Für Key ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) Ihre ID: 721, Enter-Taste:
Die erfassten Proben zeigen, dass die Nutzer sind mit zwei E-Mail-Adressen: einer der Gastgeber auf Yandex und die andere auf Protonmail. Die Bilder zeigen, dass einige der Briefe tatsächlich aus dem kyrillischen Alphabet, kombiniert mit der Tatsache, dass ein Postfach auf Yandex gehostet wird, die Tatsache zeigt, dass die Verbrecher russisch-sprachigen sein kann.
Um mehr und wirksam verhindern Infektionen Lesen Sie unsere vollständige Entfernung Guide.