FBI警告Mamba勒索軟體結合開源加密工具DiskCryptor來襲，可加密整個磁碟

美國聯邦調查局（FBI）本周發出公告警告企業及政府單位，一隻名為Mamba（曼巴）的勒索軟體結合開源加密工具DiskCryptor肆虐，不幸感染的電腦將會被加密整個磁碟。

Mamba是以全磁碟加密聞名的惡意程式，至少在2017年便流傳在網路上，受害者涵括地方政府、公眾運輸、法院、IT服務業者、製造、營建、商業及能源業，如舊金山地鐵曾遭其攻擊而故障兩天。Mamba近日又捲土重來，並結合原本無害的開源全磁碟加密軟體DiskCryptor。

受害者電腦一旦執行Mamba，Mamba會先解開一組檔案，安裝DiskCryptor。 攻擊者會先利用指令行參數[Ransomware Filename].exe <password>傳送金鑰。解開後的DiskCryptor於背景安裝，並以駭客使用的金鑰加密受害機器。DiskCryptor安裝驅動程式完成後2分鐘重新啟動受害電腦，開始執行加密，並在第二次重啟電腦時完成全磁碟加密，受害者也會在螢幕同時看到勒索訊息。

Mamba加密時，加密金鑰和電腦關閉時間變數，會被儲存在組態檔(myConf.txt)中。這個檔案在第二次電腦重啟前都還可讀取，如果使用者能及時找到這個檔案，並立即做出應變，也許可以在不付贖金情況下回復密碼。

根據FBI提供的資訊，DiskCryptor的執行檔、勒索軟體log檔、及組檔文字，都是位於C:\User\Public\路徑下。所有被加密的磁碟根目錄都會存在$dcsys$檔，DiskCryptor驅動程式則會儲存在如下路徑：C:\Windows\System32\Drivers\dcrypt.sys。

FBI再次呼籲企業及政府部門應做好資料備份及復原規畫，實行網路隔離以免感染全網路，也不要私自安裝軟體。