USD 94.09
ЕВРО 100.53
Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Новая вредоносная программа Satana шифрует пользовательские файлы и область загрузки компьютера
Экономика
Злоумышленники разрабатывают новую агрессивную программу-шифровальщик типа ransomware для компьютеров под Windows, которая шифрует не только пользовательские файлы, но и загрузочную область (MBR), после чего на компьютере невозможно загрузить операционную систему.
Специалисты компании Malwarebytes считают, что эта программа еще находится в стадии разработки.
Satana является уже второй вредоносной программой типа ransomware, которая воздействует на MBR и берет пример с другой программы — Petya, которая появилась в марте этого года.
Код MBR хранится в первом секторе жесткого диска, содержит информацию о разделах диска и запускает загрузчик ОС. Без корректной информации в загрузочной области компьютер не знает какой раздел содержит ОС и как ее запустить.
Существует значительное отличие Satana от Petya. Например, Petya замещает MBR с целью запустить свой загрузчик, который потом шифрует таблицу файловой системы (MFT).
Satana не шифрует MFT. Она только замещает область загрузки своим кодом и сохраняет зашифрованный код области загрузки для восстановления в случае, если жертва заплатит выкуп. В результате на компьютере невозможно загрузить ОС, но может быть восстановлена такая возможность более легко, чем в случае, когда зашифрована еще и таблица файловой системы.
В мае Petya работал в комбинации с другой программой этого класса, под именем Mischa, которая вела себя более традиционно – шифровала пользовательские персональные файлы в случае, когда не могла получить администраторские права на компьютере для доступа к MBR и MFT.
Satana использует ту же комбинацию традиционного шифрования пользовательских файлов и загрузочной области, но в одной программе. Сначала она шифрует пользовательские файлы, а потом терпеливо ожидает первой перезагрузки, в момент которой и происходит подмена загрузочной области. После этого пользователь видит на экране требование выкупа в размере 0.5 биткоинов (около US$340).
Эта процедура усложняет восстановление системы для нетехнических пользователей, поскольку приходится пользоваться другим компьютером для оплаты выкупа, т.к. зараженный компьютер невозможно загрузить.
Пользователи могут восстановить MBR воспользовавшись опцией восстановления Windows, но это требует работы с командной строкой Windows и программой bootrec.exe (восстановление загрузки), что достаточно сложно для рядового пользователя.
Текущая версия вредоносной программы Satana пока не очень широко распространилась, поскольку ее код еще не достаточно отлажен и имеет уязвимости. Но специалисты считают, что она станет базой для новых версий ransomware.
