greves Mamba ransomware em todo o disco, e não apenas os seus arquivos

Aqui está uma nova estirpe ransomware que SophosLabs trazida à nossa atenção.

É o chamado Mamba (produtos Sophos bloqueá-lo como Troj / Mamba-A e Troj / Mamba-B), após a serpente mortal do mesmo nome.

A boa notícia é que nós não vimos Mamba na natureza; que não é muito bem escrito ou de confiança; e não é totalmente claro como o bandido ou criminosos por trás dele pretende fazer algum dinheiro fora dele.

A má notícia é que se você ficar infectado por engano, você pode não ser capaz de recuperar o computador em tudo, mesmo se você estiver disposto a negociar com os bandidos.

No entanto, Mamba é interessante porque os criadores claramente estabelecidos para tentar algo um pouco diferente e ver o que aconteceu.

Nós temos visto já ransomware chamado Petya que embaralha o índice principal do seu disco rígido (o que é conhecido como o Master File Table ou MFT), em vez de ir atrás de arquivos individuais, deixando seu computador não arranca e preso em uma tela de inicialização 1990-estilo que diz-lhe como comprar sua maneira fora do problema.

Petya deixou a maior parte de seus dados brutos descodificados ao nível do sector, embora tentadoramente fora de alcance.

Mamba leva a abordagem de resgatar todo o disco um pouco mais longe: ela embaralha todos os setores de disco, incluindo o MFT, o sistema operacional, seus aplicativos, todos os arquivos compartilhados e todos os seus dados pessoais, também.

Ironicamente, Mamba faz tudo isso com muito pouco esforço de programação: o malware simplesmente instala e ativa uma cópia pirata do software de fonte aberta DiskCryptor .

DiskCryptor não é um substituto que tenha surgido desde o desaparecimento do TrueCrypt em 2014. Na verdade, a versão mais recente do DiskCryptor data de apenas dois meses após os desenvolvedores TrueCrypt mortos fora de seu produto , e no site da DiskCryptor ainda compara-se com a longo extinta TrueCrypt.

DiskCryptor é o que é conhecido como uma ferramenta completa Disk Encryption (FDE), como BitLocker da Microsoft ou FileVault, da Apple, que pede uma senha na inicialização, e então decifra todos os setores como se lê no e criptografa todos os setores, como está escrito fora.

Uma vez que você está dentro, você está em tudo, por isso FDE não controlar o acesso a arquivos individuais (você precisa de uma aplicação como o Sophos SafeGuard criptografia que podem lidar com ambos os discos e arquivos para isso), mas FDE é, contudo, um grande forma de garantir o seu computador portátil contra perda ou roubo.

Se ladrões roubar o seu laptop enquanto ele está desligado ou travada, todo o disco é apenas muito repolho picado para eles, por isso mesmo se eles enxertar seu disco rígido em outro computador ou de inicialização a partir de um CD de recuperação baseado em Linux ou USB, o conjunto coisa que está fora dos limites.

É claro que, neste caso, os bandidos estão se voltando FDE contra você, porque eles sabem a senha DiskCryptor, e você não faz.

Como Mamba infecta

Nós não vimos quaisquer amostras Mamba em nossas armadilhas de e-mail, por isso não podemos dizer-lhe qualquer específicos de olhar para fora, assumindo que os bandidos usam e-mail para distribuir a ameaça, como é comum para ataques de ransomware estes dias.

Como de costume, no entanto, ser especialmente cauteloso de o tipo de e-mail muitas vezes você abrir rotineiramente quando você está indo através de seus e-mails de negócios todas as manhãs: facturas, avisos de pagamento, os pedidos de cotação e assim por diante.

vigaristas ransomware ter encontrado este tipo de e-mail uma isca tentadora e eficaz para atacar usuários domésticos e empresas.

Se você fizer executar um arquivo infectado por engano Mamba não parece fazer muito, embora você verá uma "elevação" prompt primeiro a pedir-lhe para dar a permissão app desconhecido para fazer mais perigoso do que o usual stuff.

Depois de um curto período de tempo, o computador irá reiniciar espontaneamente, o que você pode pensar em como sua segunda bandeira vermelha:

Antes de reiniciar, o programa Mamba sub-repticiamente instala-se como um serviço do Windows com o nome DefragmentationService e com LocalSystem privilégios.

Malware executado como um LocalSystem de serviço ativa mesmo quando ninguém está conectado no momento, é invisível a partir do desktop do Windows, e tem controle quase total sobre o computador local.

Notavelmente, Mamba tem as credenciais para instalar um programa FDE baixo nível como DiskCryptor silenciosamente em segundo plano, que é exatamente o que ele faz após a reinicialização.

Na verdade, Mamba carrega com ele uma cópia regular de DiskCryptor, onde pode encontrar no diretório C:DC22 após a reinicialização inesperada:

Na verdade, você pode usar o DCRYPT.EXE utilitário para ver o que está acontecendo em segundo plano, como fizemos aqui:

É possível ver que a codificação é a avançar progressivamente (processo demora tipicamente de algumas dezenas de minutos a várias horas, dependendo do tamanho do disco e a velocidade do computador).

Você também pode ver que os bandidos tenham pré-configurado a sua implantação de DiskCryptor para lhe dar rudimentar "como pagar" instruções em vez de uma solicitação de senha mais convencional.

Uma vez que os acabamentos de criptografia, você está em um prático, se a posição bastante complicado: o computador não reiniciar automaticamente, de modo que todos os seus arquivos ainda estão acessíveis, e o log de DiskCryptor, contido no arquivo log_file.txt , mostrado na listagem acima, contém a senha de texto real.

Normalmente, seríamos profundamente crítica de software que despeja dados pessoais, privadas ou seguras em arquivos de log de texto simples, mas, neste caso, é uma tábua de salvação: você pode usar a opção Decrypt no DCRYPT utilidade para desfazer a criptografia!

Se você não perceber que a criptografia de fundo que aconteceu, é claro, você está em apuros próxima vez que você reiniciar o computador.

Infelizmente, como mencionado acima, DiskCryptor não teve qualquer desenvolvimento nos últimos dois anos, e ainda é incompatível com a maneira que as instalações mais modernas do Windows configurar seu disco rígido.

Versões mais antigas do sistema operacional e discos rígidos mais velhas usaram um formato chamado MBR, abreviação de Master Boot Record, que permitiu que quatro partições por disco e um tamanho máximo de disco de 2 terabytes. Estes dias, a maioria das instalações usar um layout semelhante-mas-diferente de disco chamado tabela de partição GUID, ou GPT para o short, que suporta 128 partições de tamanhos até milhares de milhões de terabytes.

código de inicialização de baixo nível de DiskCryptor, onde você está convidado para a sua senha para que suas partições criptografadas podem ser descodificados em tempo real e tyour computador pode iniciar-se, não é compatível com discos GPT.

Mamba, no entanto, instala DiskCryptor de qualquer maneira.

Em qualquer Mac atualmente suportada você definitivamente vai ter um disco GPT-formato; na maioria dos computadores recentes do Windows, você quase certamente, por isso depois de reiniciar você terá algo parecido com isto:

Você não vai mesmo ver a mensagem "como entrar em contato" nos dos bandidos, supondo que você queria entrar em contato com eles.

Infelizmente, a notícia não é muito melhor, mesmo se você tiver uma configuração de disco old-school: em nossos testes, temos não mais do que isso em nosso disco MBR-format:

O que fazer?

Recomendamos sempre não pagar vigaristas ransomware, se possível, mas nunca fui de coração duro o suficiente para chegar na nossa caixa de sabão e dizer que você seria errado fazê-lo, porque não é nosso de dados que está sendo mantido como refém.

Neste caso, no entanto, achamos que você seria sábio para amortizar os seus dados e se preparar para uma reinstalação completa. (Da próxima vez, talvez considere o uso de algum tipo de anti-vírus em tempo real, e considerar descobrir um plano sustainble para manter backups completos off-line.)

Não temos certeza de como os criminosos acompanhar o que YOURID vai com o password, ou mesmo se eles se preocupam em fazê-lo.

Além disso, dada a forma como descuidados os bandidos estão em instalar DiskCryptor quando está garantido para quebrar, não estamos convencidos de que eles poderiam mostrar qualquer tipo de "honra entre ladrões" e confiável recuperar seus dados, mesmo que quisesse.

Então, como sempre, a prevenção é muito melhor do que remediar, até porque, neste caso, não pode realmente ser uma cura, nem por amor nem por dinheiro.

Aqui estão alguns links Achamos que você vai achar útil:

OUÇA AGORA

(Leitor de áudio acima não está funcionando? Ouça no Soundcloud ou acesso via iTunes .)