بررسیها نشان میدهد
باجافزار مامبا «Mamba» یکی از اولین نمونههای باجافزاری است که برخلاف سایر باجافزارها که عموما فایلها را مورد هدف قرار میهند، با استفاده از ابزار DiskCryptor، کل حافظه هارد دیسک کامپیوتر قربانیان خود را رمزگذاری میکند.
برنامه DiskCryptor یک ابزار رایگان و متن باز است که میتوان برای رمزگذاری اطلاعات براساس استانداردهای رمزنگاری مدرن استفاده کرد و تاکنون برای بازیابی و رمزگشایی اطلاعات رمزگذاری شده توسط این ابزار هیچ راهحلی گزارش نشده است.
پیشینه باجافزار مامبا
براساس اطلاعات موجود، باجافزار مامبا اواخر سال ۲۰۱۶ میلادی برای اولین بار با آلوده کردن شبکه حمل و نقل عمومی شهر سانفرانسیسکو در آمریکا خبر ساز شد. حملهی باجافزاری مامبا در سانفرانسیسکو منجر به غیرفعال و از کار افتادن حدود ۲ هزار دستگاه فروش بلیط قطار و اتوبوس شده بود.
بازگشت مجددا مامبا
در گزارش اخیر شرکت امنیتی کاسپرکسی درخصوص انتشار مجدد این باجافزار آمده است که سازندگان مامبا در حملات جدید خود، پس از یافتن دسترسی به شبکههای شرکتها و سازمانها در دو ناحیه جغرافیایی مشخص (در حال حاضر برزیل و عربستان سعودی)، از ابزار PsExec برای اجرای کدهای مخرب استفاده میکنند. بدینتریب با آلوده شدن دستگاههای هدف به باجافزار، مامبا اقدام به جایگزین نمودن بخش دستورات خود در رکورد راهانداز اصلی هارد دیسک (MBR) میکند.
بعد از این فرآیند باجافزار مامبا کل حافظه هارد دیسک کامپیوتر قربانی خود را رمزگذاری کرده و در پایان با راهاندازی مجدد دستگاه، پیام باجگیری را به کاربر نمایش میدهد.
جزئیات فنی
براساس گزارش شرکت کاسپرسکی، باجافزار مامبا در دو مرحله اقدام به آلودهسازی و رمزگذاری اطلاعات هارد دیسک میکند.
مرحله اول (آماده سازی)
- ساخت یک پوشه در آدرس “C:\xampp\http“
- کپی کردن فایلهای مربوط به ابزار DiskCryptor را به پوشه ایجاد شده
- نصب فایلهای راهانداز DiskCryptor
- ثبت سرویس سیستمی با عنوان DefragmentService
- راهاندازی مجدد دستگاه
مرحله دوم (رمزگذاری اطلاعات)
- نصب و استفاده از DiskCryptor در رکورد راهانداز اصلی هارد دیسک «MBR»
- پاکسازی اطلاعات اضافی
- راهاندازی مجدد دستگاه
توضیحات بیشتر در:
- The return of Mamba ransomware