Новая вредоносная программа Satana шифрует пользовательские файлы и область загрузки компьютера

Злоумышленники разрабатывают новую агрессивную программу-шифровальщик типа ransomware для компьютеров под Windows, которая шифрует не только пользовательские файлы, но и загрузочную область (MBR), после чего на компьютере невозможно загрузить операционную систему.
Специалисты компании Malwarebytes считают, что эта программа еще находится в стадии разработки.
Satana является уже второй вредоносной программой типа ransomware, которая воздействует на MBR и берет пример с другой программы — Petya, которая появилась в марте этого года.
Код MBR хранится в первом секторе жесткого диска, содержит информацию о разделах диска и запускает загрузчик ОС. Без корректной информации в загрузочной области компьютер не знает какой раздел содержит ОС и как ее запустить.
Существует значительное отличие Satana от Petya. Например, Petya замещает MBR с целью запустить свой загрузчик, который потом шифрует таблицу файловой системы (MFT).
Satana не шифрует MFT. Она только замещает область загрузки своим кодом и сохраняет зашифрованный код области загрузки для восстановления в случае, если жертва заплатит выкуп. В результате на компьютере невозможно загрузить ОС, но может быть восстановлена такая возможность более легко, чем в случае, когда зашифрована еще и таблица файловой системы.
В мае Petya работал в комбинации с другой программой этого класса, под именем Mischa, которая вела себя более традиционно – шифровала пользовательские персональные файлы в случае, когда не могла получить администраторские права на компьютере для доступа к MBR и MFT.
Satana использует ту же комбинацию традиционного шифрования пользовательских файлов и загрузочной области, но в одной программе. Сначала она шифрует пользовательские файлы, а потом терпеливо ожидает первой перезагрузки, в момент которой и происходит подмена загрузочной области. После этого пользователь видит на экране требование выкупа в размере 0.5 биткоинов (около US$340).
Эта процедура усложняет восстановление системы для нетехнических пользователей, поскольку приходится пользоваться другим компьютером для оплаты выкупа, т.к. зараженный компьютер невозможно загрузить.
Пользователи могут восстановить MBR воспользовавшись опцией восстановления Windows, но это требует работы с командной строкой Windows и программой bootrec.exe (восстановление загрузки), что достаточно сложно для рядового пользователя.
Текущая версия вредоносной программы Satana пока не очень широко распространилась, поскольку ее код еще не достаточно отлажен и имеет уязвимости. Но специалисты считают, что она станет базой для новых версий ransomware.



Подпишитесь на нашу еженедельную новостную рассылку!

Все наши новости вы получите по электронной почте раз в неделю, а Ваши личные данные останутся в безопасности. При необходимости вы сможете отписаться от рассылки в любой момент и в один клик.

Электронная почта

Имя пользователя

  • npsod,
  • 1920
  • 1

Комментарии

avatar

AnatolyKalygin,

У нас много требований было к нашему аутсорсеру по поводу информационной безопасности. И это не лишняя предосторожность.