В конце 2016 года пассажиры общественного транспорта Сан-Франциско заметили на информационных мониторах вместо расписания лаконичное сообщение: “Все данные зашифрованы”. Так впервые заявил о себе во всеуслышание криптолокер Mamba. После этого шифровальщик вроде бы залег на дно, но на днях проявился снова. На этот раз его атаке подверглись организации в Бразилии и Саудовской Аравии.
![][1]
Mamba примечателен тем, что его авторы не стали морочиться с доморощенной реализацией шифрования, а просто использовали опенсорсную утилиту DiskCryptor. Операторы Мамбы проникают в сеть организации и запускают криптолокер утилитой psexec. Для каждой машины сети генерируется отдельный пароль шифрования, который передается через параметры командной строки дропперу троянца.
[Читать дальше →][2]

[1]: https://habrastorage.org/web/de7/9ea/3d3/de79ea3d3408403e949a5b9ca2ce40b6.png
[2]: https://habrahabr.ru/post/335704/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut