В конце 2016 года пассажиры общественного транспорта Сан-Франциско заметили на информационных мониторах вместо расписания лаконичное сообщение: “Все данные зашифрованы”. Так впервые заявил о себе во всеуслышание криптолокер Mamba. После этого шифровальщик вроде бы залег на дно, но на днях проявился снова. На этот раз его атаке подверглись организации в Бразилии и Саудовской Аравии.
![](https://habrastorage.org/web/de7/9ea/3d3/de79ea3d3408403e949a5b9ca2ce40b6.png)
Mamba примечателен тем, что его авторы не стали морочиться с доморощенной реализацией шифрования, а просто использовали опенсорсную утилиту DiskCryptor. Операторы Мамбы проникают в сеть организации и запускают криптолокер утилитой psexec. Для каждой машины сети генерируется отдельный пароль шифрования, который передается через параметры командной строки дропперу троянца.
Процесс атаки на данные можно разделить на два этапа:
Этап 1 – подготовка:
1. Создается директория “C:\xampp\http“.
2. В директорию записывается DiskCryptor.
3. В системе устанавливается драйвер DiskCryptor.
4. В системе регистрируется сервис DefragmentService.
5. Система перезагружается.
Обратите внимание на шаг записи компонентов DiskCryptor. Дроппер Мамбы устанавливает 32- или 64-битную версию в зависимости от разрядности системы.
![](https://habrastorage.org/web/c35/454/c4a/c35454c4a3ed4c8c95bbc7bf68313431.png)
Драйвер устанавливается не особо мудрено – при помощи инсталлятора DiskCryptor.
![](https://habrastorage.org/web/286/bc4/dd7/286bc4dd74954c018c735ce394f5938f.png)
После этого троянец создает сервис с параметрами SERVICE_ALL_ACCESS и SERVICE_AUTO_START.
![](https://habrastorage.org/web/1be/78f/978/1be78f9785fa429e945dcf18b4b1c46a.png)
И в завершение Мамба выполняет принудительную перезагрузку.
![](https://habrastorage.org/web/b65/e29/1cf/b65e291cfe7e40fd98d1905c80fea0c0.png)
Этап 2 – шифрование:
1. В MBR диска пишется загрузчик, и логические диски шифруются DiskCryptor.
2. Зачистка системы.
3. Система перезагружается.
Загрузчик в MBR ставится при помощи DiskCryptor.
![](https://habrastorage.org/web/568/e00/387/568e00387fd94d0581fc3a4f68b885f1.png)
В загрузчик прописано требование связаться с вымогателями.
![](https://habrastorage.org/web/a1b/567/3ac/a1b5673ace27468c864576d64795bff7.png)
Наконец, троянец вызывает DiskCryptor для шифрования диска с паролем, переданным через параметр командной строки.
![](https://habrastorage.org/web/08b/ab6/aab/08bab6aabe254241ad901a443e4a9df0.png)
После перезагрузки жертва видит сообщение вымогателей.
![](https://habrastorage.org/web/1bb/ad5/eba/1bbad5eba0434b70a0d6a3b63a9e3c71.png)
Расшифровка без пароля невозможна – DiskCryptor использует сильные алгоритмы шифрования. Наши продукты детектят Мамбу как PDM:Trojan.Win32.Generic, индикатор заражения 79ED93DF3BEC7CD95CE60E6EE35F46A1.
![](https://habrastorage.org/web/de7/9ea/3d3/de79ea3d3408403e949a5b9ca2ce40b6.png)
Mamba примечателен тем, что его авторы не стали морочиться с доморощенной реализацией шифрования, а просто использовали опенсорсную утилиту DiskCryptor. Операторы Мамбы проникают в сеть организации и запускают криптолокер утилитой psexec. Для каждой машины сети генерируется отдельный пароль шифрования, который передается через параметры командной строки дропперу троянца.
![](https://habrastorage.org/web/7e3/d43/9b1/7e3d439b113b4b319dd2c607e9723a7e.png)
Процесс атаки на данные можно разделить на два этапа:
Этап 1 – подготовка:
1. Создается директория “C:\xampp\http“.
2. В директорию записывается DiskCryptor.
3. В системе устанавливается драйвер DiskCryptor.
4. В системе регистрируется сервис DefragmentService.
5. Система перезагружается.
Обратите внимание на шаг записи компонентов DiskCryptor. Дроппер Мамбы устанавливает 32- или 64-битную версию в зависимости от разрядности системы.
![](https://habrastorage.org/web/c35/454/c4a/c35454c4a3ed4c8c95bbc7bf68313431.png)
Драйвер устанавливается не особо мудрено – при помощи инсталлятора DiskCryptor.
![](https://habrastorage.org/web/286/bc4/dd7/286bc4dd74954c018c735ce394f5938f.png)
После этого троянец создает сервис с параметрами SERVICE_ALL_ACCESS и SERVICE_AUTO_START.
![](https://habrastorage.org/web/1be/78f/978/1be78f9785fa429e945dcf18b4b1c46a.png)
И в завершение Мамба выполняет принудительную перезагрузку.
![](https://habrastorage.org/web/b65/e29/1cf/b65e291cfe7e40fd98d1905c80fea0c0.png)
Этап 2 – шифрование:
1. В MBR диска пишется загрузчик, и логические диски шифруются DiskCryptor.
2. Зачистка системы.
3. Система перезагружается.
Загрузчик в MBR ставится при помощи DiskCryptor.
![](https://habrastorage.org/web/568/e00/387/568e00387fd94d0581fc3a4f68b885f1.png)
В загрузчик прописано требование связаться с вымогателями.
![](https://habrastorage.org/web/a1b/567/3ac/a1b5673ace27468c864576d64795bff7.png)
Наконец, троянец вызывает DiskCryptor для шифрования диска с паролем, переданным через параметр командной строки.
![](https://habrastorage.org/web/08b/ab6/aab/08bab6aabe254241ad901a443e4a9df0.png)
После перезагрузки жертва видит сообщение вымогателей.
![](https://habrastorage.org/web/1bb/ad5/eba/1bbad5eba0434b70a0d6a3b63a9e3c71.png)
Расшифровка без пароля невозможна – DiskCryptor использует сильные алгоритмы шифрования. Наши продукты детектят Мамбу как PDM:Trojan.Win32.Generic, индикатор заражения 79ED93DF3BEC7CD95CE60E6EE35F46A1.