Вирусная программа Satana

Вирус-вымогатель SATANA меняет MBR и шифрует пользовательские файлы

По мнению исследователей из фирмы разработчиков антивирусной программы Malwarebytes’ Anti-Malware название программы Satana переводится с итальянского и румынского языка как «Сатана». Так же, было доказано, что она функционирует, хотя пока еще не полностью «созрела».

Satana является второй угрозой, что влияет на MBR и, кажется, основана на другой программе — Petya, которая появилась в марте этого года.

Код MBR записан в первых частях HDD. Он содержит информацию о разделах на диске и запускает загрузчик операционной системы.  При отсутствии главной загрузочной записи, компьютеры не находят, какие разделы содержат ОС и не могут запустить ее.

Кроме общих сторон, существуют значительные различия между Satana и Petya. К примеру, Petya заменяет MBR для того чтобы запустить пользовательский загрузчик, который затем шифрует главную файловую таблицу (MFT) — специальный файл на разделах NTFS, содержащий данные обо всех других файлах, таких как имена, размеры и местонахождение на жестком диске.

Satana не шифрует MFT. Она просто заменяет главную загрузочную часть кодом собственной разработки и сохраняет зашифрованную версию оригинальной загрузочной записи, чтобы она могла восстановить его позже, если жертва выплачивает выкуп. Эта система сбивает загрузку ПК, но устанавливается она гораздо легче, чем если MFT был бы также в зашифрованном виде. Это и делает SATANA более опасной программой.

В мае Petya был объединен с отдельной программой, которая называется Mischa. У нее выделяют более традиционное поведение: она шифрует личные файлы пользователей напрямую, если нет возможности получить права администратора, чтобы атаковать MBR и MFT.

Satana использует ту же самую комбинацию традиционного шифрования файлов и кодирования MBR, но в одной программе. Сначала он шифрует пользовательские файлы с определенными расширениями, а затем терпеливо ждет до первой перезагрузки, после которой она заменяет MBR.  После этого владелец ПК, при следующем включении компьютера, вместо загрузки Windows, видит требование в выкупе в размере 0,5 биткойнов (около $ 340).

SATAN virus

Эта процедура делает его тяжелее для пользователей, у которых только один ПК. То есть, чтобы восстановить свою систему им необходимо использовать еще один компьютер, чтобы произвести оплату и до тех пор зараженный компьютер не будет загружать Windows.

«К сожалению, в настоящее время нет бесплатного способа расшифровать зараженные Satana данные для обычных пользователей,» — пишет Лоуренс Абрамс, основатель технологического форума поддержки подобного рода проблем в своем блоге.

Однако, есть способ восстановления MBR, используя параметры восстановления Windows, но для этого требуется работать с командной строкой Windows и Bootrec.exe (восстановления загрузочного) инструмента, так что, скорее всего, это за пределами возможностей обычных пользователей.

Текущая версия Satana еще не была широко распространена, и исследователи сомневаются, что это произойдет в ближайшее время, потому что код еще не готов и имеет недостатки. Тем не менее, они считают, что эта версия, скорее всего, послужит основой для будущих улучшений.

Отправить ответ

Оставьте первый комментарий!

Notify of
avatar
wpDiscuz