Le ransomware qui a attaqué les transports de San Francisco est de retour - Kaspersky Lab
août 2017 par Kaspersky Lab
En novembre 2016, la compagnie de transport municipal de San Francisco est prise pour cible par un ransomware. Le trafic n’est pas perturbé mais la menace, baptisée Mamba, provoque une panne de près de 2 000 ordinateurs et distributeurs de tickets durant une journée entière et réclame une rançon de 100 bitcoins (plus de 73 000$ à l’époque).
Les chercheurs de Kaspersky Lab annoncent que le groupe derrière cette attaque a repris ses activités ce mois.
Pour le moment, il cible principalement des entreprises aux Brésil et en Arabie saoudite. En revanche, ses méthodes n’ont pas changé :
· Il accède au réseau d’une entreprise et exploite l’utilitaire PsExec pour exécuter le ransomware.
· Un mot de passe est généré pour chacune des machines du réseau de la victime, en utilisant le logiciel légitime DiskCryptor.
Malheureusement, il n’existe pour le moment aucun moyen de déchiffrer les données touchées car DiskCryptor utilise des algorithmes de chiffrement forts.