Accueil > Nouvelles Cyber > Les attaques à grande échelle du ransomware Mamba sont à nouveau en hausse
CYBER NOUVELLES

À grande échelle Mamba Ransomware Attaques à nouveau en hausse

par   |  Last Update:  |  0 Commentaires  

Mamba ransomware images en vedette

Le ransomware notoire Mamba qui a paralysé l'Office des transports du San Francisco Municipal retour en 2016 a refait surface. Cette fois, les criminels derrière les attaques de la grande échelle ont recentré leur attention sur les sociétés du monde entier.

Mamba Ransomware Encore une fois Une fois réactivée

L'un des virus bien connus qui a refait surface dans une nouvelle campagne d'attaque à grande échelle est le tristement célèbre Mamba ransomware. Les experts en sécurité ont remarqué la vague entrant dans une série de tentatives d'intrusion contre les sociétés dans le monde entier. L'accent a été mis semble être une nouvelle stratégie conçue par les criminels derrière la campagne. On ne sait pas si l'attaque actuelle est soutenue par les mêmes criminels comme avant ou un nouveau collectif a vu le jour. Le Mamba ransomware surtout connu pour son HDDCRyptor logiciels malveillants a pu provoquer des attaques dévastatrices du métro de San Francisco l'an dernier.

histoire connexes: Subway SF Hit par Cryptom HDDCryptor Ransomware - Les passagers voyagent gratuitement

Les premières attaques majeures associées à la menace ont eu lieu en Septembre 2016 lorsque les experts de Morphus Labs alertés que les échantillons de virus ont été découverts sur les systèmes appartenant à une importante société d'énergie au Brésil, qui a également des succursales aux États-Unis et de l'Inde.

Mamba Ransomware Attacks sociétés dans le monde entier

Les experts de sécurité révèlent que les principales victimes des attaques semblent être grandes entreprises et les bureaux de l'entreprise situés dans Brésil et Arabie Saoudite. Il est prévu que la liste peut se développer dans d'autres pays et régions ainsi.

Mamba ransomware suit les vecteurs d'attaque bien connus associés aux versions antérieures. Il utilise un modèle d'infection en deux étapes qui cherche à infiltrer le réseau informatique premier. Lorsque cela est fait la psexec utilitaire est utilisé pour exécuter le logiciel malveillant sur les hôtes cibles. L'analyse complète montre que les échantillons de ransomware Mamba mis en place l'environnement sur le système tel qu'il est défini par les pirates:

  1. La étape de préparation crée un dossier sur la partition principale du système (C:) appelé “xampp” et un sous-répertoire appelé “http”. Ceci est une référence au célèbre package d'hébergement Web fréquemment utilisé par les administrateurs système. Mise en place d'un chemin comme celui-ci peut indiquer une installation XAMPP légitime avec un serveur Web. Étant donné que les hôtes cibles ont probablement des services installés ce ne serait pas éveiller les soupçons.
  2. La DiskCryptor utilitaire est ensuite copié dans le nouveau dossier et le pilote Windows est spécialisé installé sur l'ordinateur victime. Un service est enregistré en tant que service système appelé DefragmentService. Une fois cela fait la machine redémarre et le Mamba service ransomware est lancé.
  3. Ensuite, la chiffrement processus est lancé. Comme le service de DiskCryptor est démarré au service de démarrage, il est capable de mal configurer le bootloader et affecter toutes les partitions système disponibles.

Au cours de la phase infection, les récoltes de virus des informations détaillées sur l'ordinateur hôte. En fonction des composants matériels et de configuration des logiciels 32 ou la version de 64 bits est choisi. Les analystes ont découvert que les échantillons de ransomware Mambo accordent les privilèges d'utilité DiskCryptor pour accéder à tous les composants du système d'exploitation critiques.

Une fois que toutes les mesures ont été faites le bootloader est effacé et le système d'exploitation ne sont plus accessibles. Le message ransomware Mamba est codé en dur dans le chargeur lui-même écrasé. L'une des lectures de la note suivante échantillons capturés:

Vos données Encrypted, CNTCT Pour clé ( мсrypt2017@yandex.com OU citrix2234@protonмail.com) Votre identifiant: 721, La touche Entrée:

Les échantillons capturés révèlent que les utilisateurs utilisent deux adresses e-mail: l'un des hébergé sur Yandex et l'autre sur protonmail. Les images mettent en valeur que quelques-unes des lettres sont en fait de l'alphabet cyrillique, combiné avec le fait qu'une boîte de réception est hébergé sur Yandex, révèle le fait que les criminels peuvent être russophones.

histoire connexes: Mise à jour TrickBot bancaires cheval de Troie: WannaCry-Inspired Module maintenant actif

Pour en savoir plus et prévenir efficacement les infections lire notre guide d'élimination complète.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. .Virus mamba Fichiers (phobos) – Enleve Le Qu'est-ce que .mamba virus de fichiers? Qu'est-ce que .Mamba ransomware? Peut...
  2. Mamba Ransomware Crypte entièrement votre disque dur Utilisation DiskCryptor New Ransomware virus called Mamba also known as HDDCryptor has...
  3. Kraken Ransomware et Fallout Exploit Kit utilisés dans les attaques à grande échelle The Kraken ransomware is one of the latest virus threats...
  4. Mustang Panda chinois Les pirates informatiques lancent des attaques à grande échelle via des documents de programmes malveillants Un nouveau collectif de piratage dangereux connu sous le nom de Mustang Panda est....
  5. Instagram Utilisateurs de visage Problèmes de connexion, À grande échelle Piratage Attaque Susceptible Security reports indicate that Instagram users experience serious login issues...
  6. WordPress Botnet Infecte Blogs dans une attaque à grande échelle A large WordPress botnet is currently attacking other blogs powered...
  7. BAD RABBIT Virus Ransomware – Comment faire pour supprimer + récupérer des fichiers Cet article vise à vous montrer comment supprimer le...
  8. « Vos données sont cryptées!» Virus Oni - Comment supprimer + Restaurer .oni fichiers Cet article a pour but de vous aider en vous montrant comment...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord