Новый вирус Satana шифрует пользовательские файлы и MBR

Злоумышленники разрабатывают новый вирус-вымогатель для ОС Windows, который шифрует пользовательские файлы и главную загрузочную запись (MBR), в результате чего операционная система не может загрузиться.

Вирус Satana, по мнению исследователей отдела безопасности MalwareBytes, находится на стадии разработки, но уже способен нанести вред.

Satana является второй угрозой, влияющей на MBR, после программы под названием Petya, которая появилась в марте.

Код MBR сохраняется в первых секторах жесткого диска. Он содержит информацию о разделах ЖД и запускает загрузчик операционной системы. Без исправного MBR компьютер не может запустить ОС.

computerVirus_TrueIT

Принцип работы

Существуют значительные различия между Satana и Petya. Например, Petya заменяет MBR чтобы запустить свой загрузчик, а затем шифрует главную файловую таблицу (MFT) — специальный файл в NTFS разделах, в котором хранится информация о содержимом диска.

Satana не шифрует MFT. Он просто заменяет MBR своим кодом и сохраняет зашифрованную версию оригинальной загрузочной записи. Это так же делает компьютер незагружаемым, но устранить неполадку будет гораздо легче, чем в случае с зашифрованным MFT. Если жертва заплатит деньги, оригинальный MBR восстановится и ОС сможет загрузиться.

В мае Petya был объединен с другой программой вымогателей — Mischa. Mischa проявляет более традиционное поведение вирусов-вымогателей: он просто шифрует пользовательские файлы, если не может получить права администратора для шифрования MBR и MFT.

Вирус Satana использует стандартную схему работы. Сначала он шифрует файлы пользователей добавляя свои расширения, а затем терпеливо ждет перезагрузки для замены MBR. Потом пользователь видит экран с сообщением о выкупе в размере 0.5 биткоин (около $340)

Расшифровать не получится

«К сожалению, в настоящее время не существует никакого способа для расшифровки зашифрованных Cатаной файлов бесплатно», сказал Лоуренс Абрамс, основатель отдела поддержки BleepingComputer в своем блоге.

Пользователи могут восстановить MBR используя параметры восстановления Windows, но для этого требуется работать с командной строкой Windows и bootrec.exe. Скорее всего, это за пределами возможностей обычных пользователей.

Текущая версия Satana не широко распространена, однако исследователи считают, что эта версия послужит основой для будущих улучшений.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *