Renato Marinho, ricercatore del Morphus Labs, ha identificato un nuovo cryptovirus che infetta sistemi Windows battezzato “Mamba” che invece di cifrare i singoli file cripta l’intero hard disk della vittima, chiedendo poi un riscatto in bitcoin per la chiave di cifratura.Mamba non è il primo ransomware la cui cifratura va oltre quella dei file, utilizzando la tecnica del Full Disk Encryption (FDE).Pochi mesi fa, infatti, Petya ha fatto notizia per essere il primo criptovirus a cifrare l’MFT del sistema, modificando anche l’MBR, rendendo quindi inaccessibile l’intero disco del sistema e provocando quindi un effetto di Full Disk Encryption o Whole Disk Encryption (WDE).Una volta infettato il sistema, il ransomware fa uso del tool gratuito e open source DiskCryptor per cifrare l’intero disco del PC della vittima nascondendosi dietro un processo chiamato “DefragmentService”.Al riavvio il PC mostra una schermata nera con il testo “You are Hacked !) per ottenere la chiave di decifratura, da inserire per ripristinare i file o meglio l’intero disco cifrato.

>” che ha chiesto di versare 1 BTC all’indirizzo 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf, sul quale a oggi risultano essere transitati 4 bitcoin (circa 2.400 euro).Non è detto ovviamente che l’indirizzo bitcoin 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf sia l’unico utilizzato dall’autore/distributore del ransomware Mamba per incassare il riscatto versato dalle vittime.buy litecoin using credit cardL’hash MD5 del malware analizzato dal ricercatore Renato Marinho è a50325553a761d73ed765e326a1733a3, l’analisi del sample può essere visualizzata al seguente link sulla piattaforma di virtualizzazione Hybrid Analysis, dal quale è anche possibile – dopo aver fatto il login – ottenere il download del sample.ethereum chinese stock exchangeAlternativamente, per reperire sample e analisi dei ransomware, spesso è sufficiente cercare su Google l’hash MD5, SHA1 o SHA256 indicato nei whitepaper o nei post dei ricercatori per trovare le varie pagine che contengono le analisi e il download dei sample.man denies bitcoin

Mamba ransomware: Is hard-disk encryption the next attack?Lo scorso fine settimana, il 26 e il 27 novembre, la gente che ha viaggiato con la San Francisco Municipal Railway ha potuto constatare, con sorpresa, di non dover pagare il biglietto.Tutte le persone hanno viaggiato gratis entrambi i giorni.bitcoin value euro graphUn sogno socialista che diventa realtà?bitcoin hashrate networkLa San Francisco Municipal Railway, meglio nota come Muni, non ha potuto vendere biglietti perché è stata attaccata da un ransomware.bitcoin nas?l uye olunurAlcuni mezzi di comunicazione sostengono che il problema si era verificato un paio di giorni prima, prima del Giorno del Ringraziamento, quando le macchinette per la vendita dei biglietti e i monitor degli orari avevano iniziato a visualizzare il messaggio “Voi hackerati” (come sempre i ransomware si annunciano con tanti errori grammaticali).bitcoin vs namecoin

Sembra che il ransomware, chiamato Mamba, una variante dell’HDDCryptor, abbia colpito oltre 2000 computer fuori uso appartenenti all’agenzia di trasporti di San Francisco (SFMTA).Mamba (e HDDLocker; consideriamoli una cosa sola per il resto di questo post) è un ransomware che cripta l’intero hard disk e cambia il master boot record (MBR) per evitare che i computer infetti carichino i propri sistemi operativi, visualizzando al contrario il messaggio dei criminali.bitcoin aktie aktuellI creatori di Mamba hanno utilizzato strumenti open-source come parti di un Trojan e questo, tra le altre cose, li ha aiutati a creare un forte algoritmo.bitcoin to aud 2010Quindi non esiste un modo per riavere indietro i file criptati da Mamba senza pagare i criminali.;  utilizzando questo indirizzo mail, un giornalista del San Francisco Examiner è stato in grado di parlare con i criminali, che si sono presentati come “Andy Saolis”.

Secondo quanto affermato da Saolis, l’attacco al Muni non era un attacco voluto; il sistema si è infettato semplicemente perché qualcuno con privilegi di amministratore ha scaricato un file torrent infetto.Saolis ha anche detto all’Examiner che l’SFMTA deve pagare loro 100 bitcoin (circa 73.000 dollari) per fare in modo che i computer tornino ad essere operativi.Ma sembra che l’SFMTA fosse stata in grado di affrontare il problema senza pagare il riscatto; domenica le macchinette che emettevano i biglietti funzionavano di nuovo.I ricercatori antimalware di Kaspersky Lab tengono d’occhio i responsabili dell’attacco.Sembra che Mamba sia usato in genere per attaccare le imprese e le organizzazioni; l’attacco al Muni non è la prima conquista di Mamba (e in realtà, 100 bitcoin sono una piccola somma per gli standard di questi criminali.In genere chiedono di più).Dunque, Mamba sembra proprio una brutta minaccia.Cosa si può fare per proteggere voi e la vostra azienda?L’SFMTA è stata in grado di risvegliare Muni e di avviarlo abbastanza velocemente perché era in possesso dei backup.

Vale la pena dire che questi backup non si trovavano sulla condivisione di rete, altrimenti Mamba avrebbe criptato anche questi.La morale è questa: comportatevi come l’SFMTA ed effettuate regolarmente il backup dei vostri dati.Conservate i backup sia nel cloud che in hard disk esterni, non sul vostro computer o sui dispositivi connessi alla rete.Siate anche più intelligenti dell’SFMTA ed evitate di essere infettati da Mamba o da qualsiasi altro ransomware.Al contrario, utilizzate una buona soluzione di sicurezza.Kaspersky Internet Security rileva Mamba (o HDDCryptor e altri ransomware simili) come HEUR:Trojan.Win32.Generic e non permette loro di criptare nulla.A potentially devastating new ransomware discovered in the wild goes to new lengths to convince you to pay up.After encrypting your entire hard drive, Mamba overwrites your PC's master boot record, preventing it from starting Windows.The malware was found on machines in the United States, Brazil and India by researchers at Morphus Labs.

It was discovered on computers owned by an energy company in Brazil with subsidiaries in the U.S.Renato Marinho, one of the researchers who uncovered Mamba, detailed the ransomware in an article on LinkedIn.Most ransomware utilities encrypt the files in your personal folders but leave the computer's operating system intact.A popup window is then displayed to allow you to purchase a decryption key and retrieve your data.Mamba goes a few steps further.It prevents your computer from starting up, displaying a custom prompt for a decryption key before loading your machine's OS.Mamba achieves this by overwriting your computer's master boot record (MBR).The MBR essentially stores a list of all your installed operating systems.When you turn your computer on, the default OS stored in the MBR is started up.By inserting itself into the MBR, Mamba can display a custom prompt to the user before the usual operating system starts.Mamba is an advanced form of ransomware and utilises full-disk encryption.

This encrypts every file on the hard drive, instead of just the important data created by the user.Until the correct decryption key is supplied, the target machine cannot load any other operating system.In the enterprise and server environments Mamba appears to be targeting, the attack could be very serious."Mamba encrypts the whole partitions of the disk," Marinho said to Threatpost."It uses a disk-level cryptography and not a traditional strategy of other ransomware that encrypts individual files."Mamba is sophisticated but it does contain a few flaws.According to Marinho, Mamba appears to use the same password for all its victims, potentially making it easier to bypass.The password may be linked to something tied to the victims' environment, such as their hostname, but that data is relatively easy to obtain.The malware's creators are charging 1 bitcoin each for decryption keys.So far, the bitcoin wallet being used to run the campaign has received 4 coins.That suggests that four victims have already paid up, although the wallet could also be used for other transactions.