FBI向外界示警,Mamba勒索軟體作者發展出新手法,濫用開源加密工具DiskCryptor發動新一波攻擊,不幸感染的電腦將會被加密整個磁碟。

美國聯邦調查局(FBI)本周發出公告警告企業及政府單位,一隻名為Mamba(曼巴)的勒索軟體結合開源加密工具DiskCryptor肆虐,不幸感染的電腦將會被加密整個磁碟。

Mamba是以全磁碟加密聞名的惡意程式,至少在2017年便流傳在網路上,受害者涵括地方政府、公眾運輸、法院、IT服務業者、製造、營建、商業及能源業,如舊金山地鐵曾遭其攻擊而故障兩天。Mamba近日又捲土重來,並結合原本無害的開源全磁碟加密軟體DiskCryptor。

受害者電腦一旦執行Mamba,Mamba會先解開一組檔案,安裝DiskCryptor。 攻擊者會先利用指令行參數[Ransomware Filename].exe <password>傳送金鑰。解開後的DiskCryptor於背景安裝,並以駭客使用的金鑰加密受害機器。DiskCryptor安裝驅動程式完成後2分鐘重新啟動受害電腦,開始執行加密,並在第二次重啟電腦時完成全磁碟加密,受害者也會在螢幕同時看到勒索訊息。

Mamba加密時,加密金鑰和電腦關閉時間變數,會被儲存在組態檔(myConf.txt)中。這個檔案在第二次電腦重啟前都還可讀取,如果使用者能及時找到這個檔案,並立即做出應變,也許可以在不付贖金情況下回復密碼。

根據FBI提供的資訊,DiskCryptor的執行檔、勒索軟體log檔、及組檔文字,都是位於C:\User\Public\路徑下。所有被加密的磁碟根目錄都會存在$dcsys$檔,DiskCryptor驅動程式則會儲存在如下路徑:C:\Windows\System32\Drivers\dcrypt.sys。

FBI再次呼籲企業及政府部門應做好資料備份及復原規畫,實行網路隔離以免感染全網路,也不要私自安裝軟體。


熱門新聞

Advertisement