Mamba, il ransomware che cripta l’intero hard disk

Renato Marinho, ricercatore del Morphus Labs, ha identificato un nuovo cryptovirus che infetta sistemi Windows battezzato “Mamba” che invece di cifrare i singoli file cripta l’intero hard disk della vittima, chiedendo poi un riscatto in bitcoin per la chiave di cifratura.

Mamba non è il primo ransomware la cui cifratura va oltre quella dei file, utilizzando la tecnica del Full Disk Encryption (FDE). Pochi mesi fa, infatti, Petya ha fatto notizia per essere il primo criptovirus a cifrare l’MFT del sistema, modificando anche l’MBR, rendendo quindi inaccessibile l’intero disco del sistema e provocando quindi un effetto di Full Disk Encryption o Whole Disk Encryption (WDE).

Una volta infettato il sistema, il ransomware fa uso del tool gratuito e open source DiskCryptor per cifrare l’intero disco del PC della vittima nascondendosi dietro un processo chiamato “DefragmentService”.

Al riavvio il PC mostra una schermata nera con il testo “You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOURID: 123152” nella quale all’utente viene richiesto di contattare l’indirizzo w889901665@yandex.com per ottenere la chiave di decifratura, da inserire per ripristinare i file o meglio l’intero disco cifrato.

Fonte: http://www.ransomware.it/

Si consiglia sempre agli utenti di non pagare il riscatto, poiché non dà alcuna garanzia che i file verranno decrittografati.

Questo virus entra nel PC della vittima in silenzio. Si potrebbe diffondere dopo l’apertura di un allegato e-mail infetto o dopo l’avvio di un aggiornamento di software dannoso.

Raccomandiamo di fare particolare attenzione all’apertura di file allegati ricevuti tramite mail, in particolare se si tratta di archivi compressi (zip o rar).