MOBEF-SALAM Ransomware decryption key di test

Home » MOBEF-SALAM Ransomware decryption key di test

MOBEF-SALAM Ransomware decryption key di test

Ciao, dopo un’esperienza con questo ransomware che sfrutta come punto di ingresso un exploitation di una pubblicazione verso l’esterno tramite IP Pubblico del protocollo RDP (Remote Desktop Protocol), metto a disposizione i miei studi per analizzare la parte di decryption dei file cifrati tramite questo ransomware.

Il MOBEF-SALAM nella sua ultima release non va a modificare l’estensione dei file che va a crittografare, ma lascia solamente nella root di ogni folder che trova due file, al solito uno di readme e uno contenente la chiave asimmetrica necessaria alla decryption dei file, crittografati dal ransomware. L’ultima infezione ha colpito essenzialmente target localizzati in Italia e ha la capacità inoltre di cancellare i volumi contenenti i backup VEEAM, purchè visibili da sistema operativo Windows. E’ importante non modificare la mappatura che il ransomware va ad eseguire attraverso share su PC Client e Server che va ad enumerare automaticamente, in modo da procedere alla eventuale encryption massiva dei file crittografati. E’ altresì indispensabile chiudere qualsiasi esposizione diretta e pubblicazione di Remote Desktop, al fine di essere nuovamente compromessi nel giro di breve con altri attacchi. La chiave di decryption la sto testando, quindi non vi è la garanzia che questa funzioni perfettamente su tutte le versioni e va quindi testata. Contattaci per ricevere maggiori informazioni se sei stato vittima di questo ransomware e testare la procedura di decryption! 

By |2018-05-10T14:49:36+00:00Maggio 10th, 2018|Sistemistica Microsoft|2 Comments