2016年底旧金山市交通局遭到重大网络袭击，攻击者使用被称之为Mamba的勒索软件。这个月，卡巴斯基的研究人员注意到，Mamba最后的黑客组织又重新开始活跃起来了。

攻击范围

目前为止，观察到以下地区的一些公司遭遇了这伙犯罪分子的袭击：

• 巴西
• 沙特阿拉伯

攻击向量

像之前的攻击活动相似，犯罪分子首先获得了目标组织的网络访问权限，然而使用Psexec实用程序进行勒索。此外，需要强调的是，勒索软件对入侵网络中的每台机器上的磁盘加密程序都生成了一个独立的密码，这个密码是勒索软件 Dropper指定、通过命令行参数执行的。

勒索软件执行的示例

技术分析

简而言之，恶意活动可以分为两个阶段：

第1阶段（预备）

• 创建文件夹“C:\xampp\http”
• 下发DiskCryptor（磁盘加密）组件到文件夹中
• 安装Diskcryptor的驱动程序
• 注册名为“DefragmentService”的系统服务
• 重新启动受害者的机器

第2阶段（加密）

• 使用Diskcryptor软件安装一个新的引导程序到MBR中，并加密磁盘分区
• 清理
• 重新启动受害者的机器

接下来，我们将详细简述一下各个阶段的关键技术细节：

第1阶段（预备）

由于木马使用了Diskcryptor程序，在预备阶段需要在受害者机器上完成安装这个工具的任务。恶意的Drooper样本在自己的资源中存储了Diskcryptor功能模块。

DiskCryptor模块

恶意软件能够甄别操作系统的信息，下发合适的DiskCryptor模块（32bit 或64bit）到新建的“C:\xampp\http”文件夹中。

恶意软件下发必要的功能模块

然后，恶意软件下发DiskCryptor安装的驱动程序：

DiskCryptor驱动程序

DiskCryptor安装好之后，恶意程序会创建一个系统服务“DefragmentService”，这个服务包含SERVICE_ALL_ACCESS 和 SERVICE_AUTO_START两个参数。

恶意软件创建的服务的部分功能（截图）

预备阶段的最后一个步骤是重启系统。

强制重启系统的函数

第2阶段（加密）

首先，恶意软件使用Diskcryptor程序建立一个新的引导程序到MBR中。

创建一个引导程序到MBR的调用过程

注意，在引导程序中包含了显示给被害者的“赎金消息”：

勒索软件的赎金信息

引导程序安装好之后，Diskcryptor程序对磁盘进行加密，加密所实用的密码是先前Dropper中指定的通过命令行参数的形式执行。

加密过程的调用树

加密完成后，系统将重新启动，然后，受害者将在屏幕上看到下列赎金界面：

受害者机器上显示的赎金界面

关于解密

很不幸，由于DiskCryptor使用了强加密算法，在不知道密码的情况下，无法对其加密的文件进行解密。

IOCs

79ed93df3bec7cd95ce60e6ee35f46a1