Mamba Ransomware заражает муниципальную железную дорогу Сан-Франциско

В прошедшие выходные, 26 и 27 ноября, люди, путешествующие по муниципальной железной дороге Сан-Франциско, с удивлением узнали, что они не пришлось платить для своих поездок. Все ехали бесплатно оба дня. Социалистическая мечта сбылась? Нету. Муниципальная железная дорога SF, также известная как Муни, утратила способность продавать билеты, потому что подверглась атаке вымогателей. В прошедшие выходные, 26 и 27 ноября, люди, путешествующие по муниципальной железной дороге Сан-Франциско, с удивлением узнали, что они   не пришлось платить   для своих поездок

Некоторые СМИ Запрос что проблема возникла несколькими днями ранее, незадолго до Дня благодарения, когда на автоматах по продаже билетов на станцию ​​и мониторах расписаний появилось сообщение «Ты взломан» - как обычно, Ransomware заявила о себе с множеством грамматических ошибок. Похоже, что вымогатель, называемый Мамба, который является вариантом HDDCryptor, выбило из строя более 2000 компьютеров, принадлежащих Агентству городского транспорта Сан-Франциско (SFMTA).

Mamba (и HDDLocker; давайте рассмотрим их одно и то же для остальной части этого поста) - это программа-вымогатель, которая шифрует весь жесткий диск и изменяет основную загрузочную запись (MBR), чтобы предотвратить загрузку зараженных компьютеров их операционных систем, вместо этого выводится сообщение злоумышленников.

Создатели Mamba использовали утилиты с открытым исходным кодом в качестве части троянца, что, среди прочего, помогло им создать сильный алгоритм. Таким образом, нет никакого известного способа вернуть файлы, зашифрованные Mamba, без оплаты преступникам.

Преступники из Мамбы призвали SFMTA связаться с ними по адресу [email protected] , и, используя этот адрес электронной почты, журналист из Сан-Франциско Ревизор смог поговорить с преступниками, которые представились как «Энди Саолис». Как рассказала история Саолис, нападение на Муни не было целевым; система заразилась просто потому, что кто-то с правами администратора скачал зараженный торрент-файл.

Саолис также сказал Examiner, что SFMTA должна была заплатить им 100 биткойнов (около 73 000 долларов), чтобы вернуть свои компьютеры в эксплуатацию. Но, похоже, SFMTA смог справиться с проблемой, не заплатив выкуп; позже в воскресенье билетные автоматы снова заработали.

Исследователи «Лаборатории Касперского» внимательно следят за тем, кто несет ответственность за атаку. Похоже, что Mamba обычно используется для атаки на предприятия и организации: атака Muni - не первая ступенька на поясе Mamba - и на самом деле, 100 биткойнов - довольно небольшая сумма по стандартам этих преступников. Обычно они требуют гораздо большего.

Итак, Мамба кажется очень неприятной угрозой. Что вы можете сделать, чтобы защитить себя и свою организацию от этого?

1. SFMTA удалось относительно быстро запустить и запустить Muni, потому что у него были резервные копии. Стоит отметить, что эти резервные копии не были в общих сетевых ресурсах; в противном случае Мамба тоже зашифровал бы их.

Урок здесь: будьте как SFMTA и регулярно создавайте резервные копии своих данных. Храните резервные копии в облаке или на внешних жестких дисках, а не на компьютере или подключенных к сети устройствах.

2. Будьте даже умнее SFMTA и избегайте заражения Мамбой или любым другим вымогателем. Вместо этого используйте хорошее решение для обеспечения безопасности. Kaspersky Internet Security обнаруживает Mamba (и HDDCryptor, и другие подобные им) как HEUR: Trojan.Win32.Generic и не дает им возможности ничего зашифровать.

Социалистическая мечта сбылась?
Что вы можете сделать, чтобы защитить себя и свою организацию от этого?