therunofsummer
攻击者正在开发一个针对Windows机器的攻击性新勒索软件程序,用于加密用户文件以及计算机的主引导记录(MBR),导致设备无法加载操作系统
该程序被称为Satana--意大利语和罗马尼亚语中的“Satan” - 据安全公司Malwarebytes的研究人员称,该程序功能正常,但仍在开发中。
Satana是第二个勒索软件影响MBR的威胁,似乎受3月份出现的另一个程序Petya的启发。
[更多阅读:如何从Windows PC删除恶意软件]MBR代码存储在硬盘的第一个扇区包含有关磁盘分区的信息并启动操作系统的引导加载程序。没有合适的MBR,计算机不知道哪些分区包含操作系统以及如何启动它。
Satana和Petya之间存在显着差异。例如,Petya替换MBR以启动自定义引导加载程序,然后加密系统的主文件表(MFT) - NTFS分区上的一个特殊文件,其中包含有关所有其他文件的信息,如名称,大小和硬映射磁盘扇区
Satana不加密MFT。它只是用自己的代码替换MBR,并存储原始引导记录的加密版本,以便在受害者支付赎金后再恢复它。这使得计算机无法启动,但比MFT也被加密更容易修复
5月,Petya与另一个称为Mischa的勒索软件程序相结合,该程序表现出更传统的行为:它加密用户的密码,个人文件,如果它无法获得攻击MBR和MFT的管理员权限
Satana使用传统文件加密和MBR加密相同的组合,但在同一个程序中。它首先使用特定扩展名对用户文件进行加密,然后耐心等待第一次重新引导,届时它将替换MBR。然后,用户看到一个屏幕要求支付0.5比特币(大约340美元)的赎金。
这个例程使得非技术用户更难恢复他们的系统,因为它迫使他们使用单独的计算机进行支付,因为受影响的计算机无法再启动到Windows。
“不幸的是,目前无法免费解密Satana加密文件,”BleepingComputer.com技术支持论坛的创始人Lawrence Abrams在博客文章中称。 。
用户可以通过使用Windows恢复选项来修复MBR,但这需要使用Windows命令行和bootrec.exe(引导恢复)工具,因此它可能超出了典型用户的能力。目前版本的Satana尚未广泛分发,研究人员并没有预料到它会因为代码还不成熟而存在缺陷。但是,他们认为这个版本可能会作为未来改进的基础。
