De beruchte Mamba ransomware dat de San Francisco Municipal Transportation Agency in verlamd terug 2016 heeft opgedoken. Dit keer is de criminelen achter de grootschalige aanvallen hebben hun aandacht toegespitst op bedrijven over de hele wereld.
Mamba Ransomware opnieuw geactiveerd Once Again
Een van de bekende virussen die is opgedoken in een nieuwe grootschalige aanslag campagne is de beruchte Mamba ransomware. Security experts merkte de inkomende golf in een reeks van inbraakpogingen tegen bedrijven wereldwijd. De verschoof de focus lijkt een nieuwe strategie moet worden bedacht door de criminelen achter de campagne. Het is niet bekend of de huidige aanslag zoals hiervoor wordt ondersteund door dezelfde criminelen of nieuwe collectief ontstaan. De Mamba ransomware vooral bekend om zijn malware HDDCRyptor kon vorig jaar metro verwoestende aanvallen van San Francisco's veroorzaken.
De eerste grote aanslagen in verband met de dreiging gebeurde in september 2016 Als deskundigen uit Morphus Labs gewaarschuwd dat het virus monsters werden ontdekt op systemen die eigendom zijn van een groot energiebedrijf in Brazilië, die ook vestigingen in de Verenigde Staten en India.
Mamba Ransomware Aanvallen Corporations Worldwide
De security experts blijkt dat de voornaamste slachtoffers van de aanslagen lijken te grote bedrijven en het bedrijf kantoren in zijn Brazilië en Saudi-Arabië. De verwachting is dat de lijst kan groeien naar andere landen en regio's, alsmede.
Mamba ransomware volgt de bekende aanvalsvectoren geassocieerd met eerdere versies. Het maakt gebruik van een tweetraps infectie patroon dat wil infiltreren het computernetwerk eerste. Wanneer dit wordt gedaan de psexec hulpprogramma wordt gebruikt om de malware te voeren op de doelhosts. De volledige analyse blijkt dat de Mamba ransomware monsters instellen van de omgeving op het systeem zoals gedefinieerd door hackers:
- Het voorbereidingsfase maakt een map op de belangrijkste systeempartitie (C:) genoemd “xampp” en een subdirectory met de naam “http”. Dit is een verwijzing naar de beroemde web hosting pakket vaak gebruikt door systeembeheerders. Het opzetten van een dergelijke route kan een legitieme XAMPP installatie met een web-server aan te geven. Als het doel hosts waarschijnlijk diensten geïnstalleerd zou dit niet vermoeden verhogen.
- Het DiskCryptor hulpprogramma wordt vervolgens gekopieerd naar de nieuwe map en de gespecialiseerde Windows-driver is geïnstalleerd op het slachtoffer computer. Een dienst wordt geregistreerd als een systeem service genaamd DefragmentService. Zodra dit is gebeurd de machine wordt opnieuw opgestart en de Mamba ransomware dienst wordt geïnitieerd.
- Vervolgens wordt de encryptie wordt gestart. Zoals de DiskCryptor service wordt gestart bij het opstarten dienst is in staat om de bootloader verkeerd instellen en hebben invloed op alle beschikbare systeempartities.
Tijdens de infectie fase het virus oogsten gedetailleerde informatie over de host computer. Afhankelijk van de hardwarecomponenten en softwareconfiguratie een 32 of 64-bits versie wordt gekozen. De analisten ontdekt dat de Mambo ransomware monsters verlenen de DiskCryptor hulpprogramma privileges voor toegang tot alle kritieke onderdelen van het besturingssysteem.
Zodra alle stappen zijn gezet de bootloader wordt gewist en het besturingssysteem niet meer toegankelijk. De Mamba ransomware bericht hardcoded in de lader zelf overschreven. Een van de gevangen monsters leest de volgende opmerking:
Uw gegevens die zijn gecodeerd, Contct Voor Key ( мсrypt2017@yandex.com OR citrix2234@protonмail.com) Je identiteitskaart: 721, Enter toets:
De gevangen genomen monsters blijkt dat de gebruikers met behulp van twee e-mailadressen: één van de gehost op Yandex en de andere op Protonmail. De beelden showcase dat sommige van de letters zijn eigenlijk van het Cyrillische alfabet, gecombineerd met het feit dat een inboxop Yandex wordt gehost, onthult het feit dat de criminelen kunnen zijn Russisch-sprekende.
Voor meer informatie en effectief te voorkomen dat infecties Lees onze volledige verwijdering gids.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: