FBI警告Mamba勒索软件结合开源加密工具DiskCryptor来袭，可加密整个磁盘

美国联邦调查局（FBI）本周发出公告警告企业及-单位，一只名为Mamba（曼巴）的勒索软件结合开源加密工具DiskCryptor肆虐，不幸感染的电脑将会被加密整个磁盘。

Mamba是以全磁盘加密闻名的恶意程式，至少在2017年便流传在网络上，受害者涵括地方-、公众运输、法院、IT服务业者、制造、营建、商业及能源业，如旧金山地铁曾遭其攻击而故障两天。Mamba近日又卷土重来，并结合原本无害的开源全磁盘加密软件DiskCryptor。

受害者电脑一旦执行Mamba，Mamba会先解开一组档案，安装DiskCryptor。 攻击者会先利用指令行参数[Ransomware Filename].exe 传送金钥。解开后的DiskCryptor于背景安装，并以骇客使用的金钥加密受害机器。DiskCryptor安装驱动程式完成后2分钟重新启动受害电脑，开始执行加密，并在第二次重启电脑时完成全磁盘加密，受害者也会在屏幕同时看到勒索讯息。

Mamba加密时，加密金钥和电脑关闭时间变数，会被储存在组态档(myConf.txt)中。这个档案在第二次电脑重启前都还可读取，如果使用者能及时找到这个档案，并立即做出应变，也许可以在不付赎金情况下回复密码。

根据FBI提供的资讯，DiskCryptor的执行档、勒索软件log档、及组档文字，都是位于C:\\User\\Public\\路径下。所有被加密的磁盘根目录都会存在$dcsys$档，DiskCryptor驱动程式则会储存在如下路径：C:\\Windows\\System32\\Drivers\\dcrypt.sys。

FBI再次呼吁企业及-部门应做好资料备份及复原规划，实行网络隔离以免感染全网络，也不要私自安装软件。