美国联邦调查局(FBI)本周发出公告警告企业及政府单位,一只名为Mamba(曼巴)的勒索软件结合开源加密工具DiskCryptor肆虐,不幸感染的计算机将会被加密整个磁盘。
Mamba是以全磁盘加密闻名的恶意程序,至少在2017年便流传在网络上,受害者涵盖地方政府、公众运输、法院、IT服务企业、制造、建筑、商业及能源业,如旧金山地铁曾遭其攻击而故障两天。Mamba近日又卷土重来,并结合原本无害的开源全磁盘加密软件DiskCryptor。
受害者计算机一旦执行Mamba,Mamba会先解开一组文件,安装DiskCryptor。攻击者会先利用指令行参数“Ransomware Filename”.exe
Mamba加密时,加密密钥和计算机关闭时间变量,会被存储在组态档(myConf.txt)中。这个文件在第二次计算机重启前都还可读取,如果用户能及时找到这个文件,并立即做出应变,也许可以在不付赎金情况下回复密码。
根据FBI提供的信息,DiskCryptor的执行文件、勒索软件log档、及组档文本,都是位于C:\User\Public\路径下。所有被加密的磁盘根目录都会存在$dcsys$档,DiskCryptor驱动程序则会存储在如下路径:C:\Windows\System32\Drivers\dcrypt.sys。
FBI再次呼吁企业及政府部门应做好资料备份及恢复规划,实行网络隔离以免感染全网络,也不要私自安装软件。