Le ransomware notoire Mamba qui a paralysé l'Office des transports du San Francisco Municipal retour en 2016 a refait surface. Cette fois, les criminels derrière les attaques de la grande échelle ont recentré leur attention sur les sociétés du monde entier.
Mamba Ransomware Encore une fois Une fois réactivée
L'un des virus bien connus qui a refait surface dans une nouvelle campagne d'attaque à grande échelle est le tristement célèbre Mamba ransomware. Les experts en sécurité ont remarqué la vague entrant dans une série de tentatives d'intrusion contre les sociétés dans le monde entier. L'accent a été mis semble être une nouvelle stratégie conçue par les criminels derrière la campagne. On ne sait pas si l'attaque actuelle est soutenue par les mêmes criminels comme avant ou un nouveau collectif a vu le jour. Le Mamba ransomware surtout connu pour son HDDCRyptor logiciels malveillants a pu provoquer des attaques dévastatrices du métro de San Francisco l'an dernier.
Les premières attaques majeures associées à la menace ont eu lieu en Septembre 2016 lorsque les experts de Morphus Labs alertés que les échantillons de virus ont été découverts sur les systèmes appartenant à une importante société d'énergie au Brésil, qui a également des succursales aux États-Unis et de l'Inde.
Mamba Ransomware Attacks sociétés dans le monde entier
Les experts de sécurité révèlent que les principales victimes des attaques semblent être grandes entreprises et les bureaux de l'entreprise situés dans Brésil et Arabie Saoudite. Il est prévu que la liste peut se développer dans d'autres pays et régions ainsi.
Mamba ransomware suit les vecteurs d'attaque bien connus associés aux versions antérieures. Il utilise un modèle d'infection en deux étapes qui cherche à infiltrer le réseau informatique premier. Lorsque cela est fait la psexec utilitaire est utilisé pour exécuter le logiciel malveillant sur les hôtes cibles. L'analyse complète montre que les échantillons de ransomware Mamba mis en place l'environnement sur le système tel qu'il est défini par les pirates:
- La étape de préparation crée un dossier sur la partition principale du système (C:) appelé “xampp” et un sous-répertoire appelé “http”. Ceci est une référence au célèbre package d'hébergement Web fréquemment utilisé par les administrateurs système. Mise en place d'un chemin comme celui-ci peut indiquer une installation XAMPP légitime avec un serveur Web. Étant donné que les hôtes cibles ont probablement des services installés ce ne serait pas éveiller les soupçons.
- La DiskCryptor utilitaire est ensuite copié dans le nouveau dossier et le pilote Windows est spécialisé installé sur l'ordinateur victime. Un service est enregistré en tant que service système appelé DefragmentService. Une fois cela fait la machine redémarre et le Mamba service ransomware est lancé.
- Ensuite, la chiffrement processus est lancé. Comme le service de DiskCryptor est démarré au service de démarrage, il est capable de mal configurer le bootloader et affecter toutes les partitions système disponibles.
Au cours de la phase infection, les récoltes de virus des informations détaillées sur l'ordinateur hôte. En fonction des composants matériels et de configuration des logiciels 32 ou la version de 64 bits est choisi. Les analystes ont découvert que les échantillons de ransomware Mambo accordent les privilèges d'utilité DiskCryptor pour accéder à tous les composants du système d'exploitation critiques.
Une fois que toutes les mesures ont été faites le bootloader est effacé et le système d'exploitation ne sont plus accessibles. Le message ransomware Mamba est codé en dur dans le chargeur lui-même écrasé. L'une des lectures de la note suivante échantillons capturés:
Vos données Encrypted, CNTCT Pour clé ( мсrypt2017@yandex.com OU citrix2234@protonмail.com) Votre identifiant: 721, La touche Entrée:
Les échantillons capturés révèlent que les utilisateurs utilisent deux adresses e-mail: l'un des hébergé sur Yandex et l'autre sur protonmail. Les images mettent en valeur que quelques-unes des lettres sont en fait de l'alphabet cyrillique, combiné avec le fait qu'une boîte de réception est hébergé sur Yandex, révèle le fait que les criminels peuvent être russophones.
Pour en savoir plus et prévenir efficacement les infections lire notre guide d'élimination complète.