Mamba, il ransomware che cripta l’intero hard disk

Renato Marinho, ricercatore del Morphus Labs, ha identificato un nuovo cryptovirus che infetta sistemi Windows battezzato “Mamba” che invece di cifrare i singoli file cripta l’intero hard disk della vittima, chiedendo poi un riscatto in bitcoin per la chiave di cifratura.

Mamba non è il primo ransomware la cui cifratura va oltre quella dei file, utilizzando la tecnica del Full Disk Encryption (FDE). Pochi mesi fa, infatti, Petya ha fatto notizia per essere il primo criptovirus a cifrare l’MFT del sistema, modificando anche l’MBR, rendendo quindi inaccessibile l’intero disco del sistema e provocando quindi un effetto di Full Disk Encryption o Whole Disk Encryption (WDE).

Una volta infettato il sistema, il ransomware fa uso del tool gratuito e open source DiskCryptor per cifrare l’intero disco del PC della vittima nascondendosi dietro un processo chiamato “DefragmentService”.

Al riavvio il PC mostra una schermata nera con il testo “You are Hacked ! H.D.D Encrypted, Contact Us For Decryption Key ([email protected]) YOURID: 123152” nella quale all’utente viene richiesto di contattare l’indirizzo [email protected] per ottenere la chiave di decifratura, da inserire per ripristinare i file o meglio l’intero disco cifrato.

Renato Marinho ha contattato l’indirizzo email indicato nella richiesta di riscatto e ha ottenuto risposta da un tale “andy saolis<[email protected]>” che ha chiesto di versare 1 BTC all’indirizzo 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf, sul quale a oggi risultano essere transitati 4 bitcoin (circa 2.400 euro). Non è detto ovviamente che l’indirizzo bitcoin 1NLnMNMPbxWeMJVtGuobnzWU3WozYz86Bf sia l’unico utilizzato dall’autore/distributore del ransomware Mamba per incassare il riscatto versato dalle vittime.

L’hash MD5 del malware analizzato dal ricercatore Renato Marinho è a50325553a761d73ed765e326a1733a3, l’analisi del sample può essere visualizzata al seguente link sulla piattaforma di virtualizzazione Hybrid Analysis, dal quale è anche possibile – dopo aver fatto il login – ottenere il download del sample.

Alternativamente, per reperire sample e analisi dei ransomware, spesso è sufficiente cercare su Google l’hash MD5, SHA1 o SHA256 indicato nei whitepaper o nei post dei ricercatori per trovare le varie pagine che contengono le analisi e il download dei sample. Si osservi, ad esempio, cosa si ottiene cercando l’hash MD5 a50325553a761d73ed765e326a1733a3 o lo  SHA256 74336da7eb463092a5f1bca3071f96b005f52e6df5826f8b0351e10537ba0459 su Google tramite la ricerca https://www.google.com/search?q=a50325553a761d73ed765e326a1733a3.