Dopo essersi confermato tra gli attacchi informatici più potenti del 2016, il ransomware Mamba fa il suo ritorno nel 2017 in una versione particolarmente difficile da debellare, capace di colpire i PC dei privati quanto i sistemi di intere organizzazioni.
Che cos’è e come opera Mamba, che può considerarsi più pericoloso del temibile WannaCry?
Il ransomware Mamba, innanzitutto, attacca seguendo una strategia particolare: non cripta i singoli file come avviene per la maggioranza degli exploit di questo tipo, ma riesce a cifrare l’intero hard disk, rendendo ancora più complicato il recupero di file, che al momento attuale può risultare addirittura impossibile in quanto vengono utilizzati algoritmi di cifratura parecchio robusti (AES, TwoFish o Serpent in particolare).
Il funzionamento di Mamba prevede, paradossalmente, l’uso di un’utility del tutto sicura e gratuita, DiskCryptor.
Il programma in questione è utilizzato per cifrare i contenuti degli hard disk dagli utenti, ma i creatori del ransomware sono riusciti a fare leva sulle sue capacità di criptare i dati in maniera irreversibile alterando poi i contenuti del Master Boot Record del PC, una porzione del disco fisso che contiene dati indispensabili per definire la struttura di file e cartelle.
In questo modo, dopo l’attacco del ransomware, il PC risulta compromesso rendendo impossibile a volte il lancio del sistema operativo, e ovviamente l’accesso ai dati personali.
Fino ad oggi non sono state avanzate richieste di riscatto come invece spesso avviene durante attacchi di questo genere, viene semplicemente fornito un numero di identificazione con cui si potrebbe ottenere l’accesso ai propri dati, tuttavia non è funzionante.
Kaspersky Lab, che ha analizzato il caso e lo svilupparsi dell’infezione Mamba negli ultimi giorni, conferma la mancanza di soluzioni immediate per il ransomware (anche ripristinando il sistema operativo non si hanno risultati positivi).
Seguitaci comunque per sapere se verranno rilasciati in esclusiva dei tool per decifrare gli hard disk compromessi da quello che possiamo definire il “re dei ransomware” del 2017.
Lascia un commento