Novi ransomware koji zaključava čitav disk, ali zašto?

Sophos Lab je otkrio novi ransomware koji slično kao i Petya zaključava čitav disk. Dobra vijest je da je, za razliku od Petya-e, virus pod nazivom Mamba loše napisan i ne postoji jasna slika kako ga napadači misle monetarizovati.

Loša vijest je da ako se slučajno zarazite ovim virusom postoji mogućnost da nećete moći vratiti podatke čak iako želite da platite.

Petya enkriptuje MFT indekse diska i ostavi boot screen sa obavještenjima kako otključati računar, ali petya ne enkriptuje sve podatke na disku, već ih čini efektivno nedostupnim.

Mamba ide korak dalje te enkriptuje sve podatke, uključujući i operativni sistem. Za ovo koristi piratizovanu verziju DiskCryptor-a, softvera za enkripciju cjelog diska, koju instalira na računar i pokrene pri sljedećem boot-u.

Dvije stvari vezane za ovaj virus su interesantne.

Prva je da nakon reboot-a korisnik može pristupiti datoteci C:DC22log_file.txt u kojoj se u čistom tekstu nalazi lozinka za otključavanje sistema.

Druga je to da se Mamba instalira i na računare koji imaju GPT formatiran disk. Svi Mac računari i većina novijih Windows računara ima GPT formatiran disk sa kojim DiskCryptor nije kompatibilan.

Nakon instalacije DiskCryptor-a ovaj uređaj se ne može popraviti osim ako se vrati na fabrička podešavanja čime se gube svi podaci. Čak iako imate starije diskove proces dekripcija nije moguća, čak i uz plaćanje.

Očigledno je da riječ o slabom pokušaju da se eksploatiše reputacija ransomware virusa. Za razliku od većine ozbiljnih ransomware-a za ovaj je korišćeno jako malo programiranja, napadači nemaju jasnu sliku kako će ga monetarizovati niti otključavanje radi.

Izvor:nakedsecurity.sophos.com