بررسی‌ها نشان می‌دهد

شرکت‌های برزیلی و سعودی هدف جدید باج‌افزار Mamba هستند

شرکت کاسپرسکی می‌گوید باج‌افزار مامبا «Mamba» با شیوه‌ای جدید و به‌صورت متمرکز در کشورهای برزیل و عربستان سعودی در حال انتشار است. باج‌افزار مامبا کل حافظه هارد دیسک در کامپیوتر قربانی خود را رمزگذاری می‌کند و تاکنون هیچ راه‌حلی برای بازیابی آن شناسایی نشده است.

باج‌افزار مامبا «Mamba» یکی از اولین نمونه‌های باج‌افزاری است که برخلاف سایر باج‌افزارها که عموما فایل‌ها را مورد هدف قرار می‌هند، با استفاده از ابزار DiskCryptor، کل حافظه هارد دیسک کامپیوتر قربانیان خود را رمزگذاری می‌کند.

برنامه DiskCryptor یک ابزار رایگان و متن باز است که می‌توان برای رمزگذاری اطلاعات براساس استانداردهای رمزنگاری مدرن استفاده کرد و تاکنون برای بازیابی و رمزگشایی اطلاعات رمزگذاری شده توسط این ابزار هیچ راه‌حلی گزارش نشده است.


پیشینه باج‌افزار مامبا

براساس اطلاعات موجود، باج‌افزار مامبا اواخر سال ۲۰۱۶ میلادی برای اولین بار با آلوده کردن شبکه حمل و نقل عمومی شهر سانفرانسیسکو در آمریکا خبر ساز شد. حمله‌ی باج‌افزاری مامبا در سانفرانسیسکو منجر به غیرفعال و از کار افتادن حدود ۲ هزار دستگاه فروش بلیط قطار و اتوبوس شده بود.

 

بازگشت مجددا مامبا

در گزارش اخیر شرکت امنیتی کاسپرکسی درخصوص انتشار مجدد این باج‌افزار آمده است که سازندگان مامبا در حملات جدید خود، پس از یافتن دسترسی به شبکه‌های شرکت‌ها و سازمان‌ها در دو ناحیه جغرافیایی مشخص (در حال حاضر برزیل و عربستان سعودی)، از ابزار PsExec برای اجرای کدهای مخرب استفاده می‌کنند. بدین‌تریب با آلوده شدن دستگاه‌های هدف به باج‌افزار، مامبا اقدام به جایگزین نمودن بخش دستورات خود در رکورد راه‌انداز اصلی هارد دیسک (MBR) می‌کند.

بعد از این فرآیند باج‌افزار مامبا کل حافظه هارد دیسک کامپیوتر قربانی خود را رمزگذاری کرده و در پایان با راه‌اندازی مجدد دستگاه، پیام باج‌گیری را به کاربر نمایش می‌دهد.

 

جزئیات فنی

براساس گزارش شرکت کاسپرسکی، باج‌افزار مامبا در دو مرحله اقدام به آلوده‌سازی و رمزگذاری اطلاعات هارد دیسک می‌کند.

مرحله اول (آماده‌ سازی)
- ساخت یک پوشه در آدرس “C:\xampp\http“
- کپی کردن فایل‌های مربوط به ابزار DiskCryptor را به پوشه ایجاد شده
- نصب فایل‌های راه‌انداز DiskCryptor
- ثبت سرویس سیستمی با عنوان DefragmentService
- راه‌اندازی مجدد دستگاه

مرحله دوم (رمزگذاری اطلاعات)
- نصب و استفاده از DiskCryptor در رکورد راه‌انداز اصلی هارد دیسک «MBR»
- پاکسازی اطلاعات اضافی
- راه‌اندازی مجدد دستگاه

 

 

توضیحات بیشتر در:

- The return of Mamba ransomware