Ciao, dopo un’esperienza con questo ransomware che sfrutta come punto di ingresso un exploitation di una pubblicazione verso l’esterno tramite IP Pubblico del protocollo RDP (Remote Desktop Protocol), metto a disposizione i miei studi per analizzare la parte di decryption dei file cifrati tramite questo ransomware.

Il MOBEF-SALAM nella sua ultima release non va a modificare l’estensione dei file che va a crittografare, ma lascia solamente nella root di ogni folder che trova due file, al solito uno di readme e uno contenente la chiave asimmetrica necessaria alla decryption dei file, crittografati dal ransomware. L’ultima infezione ha colpito essenzialmente target localizzati in Italia e ha la capacità inoltre di cancellare i volumi contenenti i backup VEEAM, purchè visibili da sistema operativo Windows. E’ importante non modificare la mappatura che il ransomware va ad eseguire attraverso share su PC Client e Server che va ad enumerare automaticamente, in modo da procedere alla eventuale encryption massiva dei file crittografati. E’ altresì indispensabile chiudere qualsiasi esposizione diretta e pubblicazione di Remote Desktop, al fine di essere nuovamente compromessi nel giro di breve con altri attacchi. La chiave di decryption la sto testando, quindi non vi è la garanzia che questa funzioni perfettamente su tutte le versioni e va quindi testata. Contattaci per ricevere maggiori informazioni se sei stato vittima di questo ransomware e testare la procedura di decryption!