Новый Satana вымогателей шифрует пользовательские файлы и главной загрузочной записи

satana вирусsatana вирус

Преступники создали новую версию опаснейшего вируса для машин с операционной системой windows, этот вирус шифрует пользовательские данные и записывает свой код в загрузочную запись, в результате чего устройства не может загрузить операционную систему.


Вирус назвали Satana — это означает \»Сатана\» в итальянском и румынском языках — и, по мнению антивирусных разработчиков, вирус уже пугает своими возможностями и функционалом, но еще не раскрыл свой потенциал и находится в стадии доработки.

Satana стал вторым вымогателем изменяющим MBR и, кажется, вдохновлен другой программой, Пети, которая появилась в марте.

Код MBR находится в начальных секторах жесткого диска и содержит системную информаций о разделах на диске, запускает загрузчик windows. Без правильного MBR, компьютеры не смогут загрузить операционную систему

Существуют значительные различия между Сатаной и Пети. Например, Петька заменяет MBR для того чтобы запустить пользовательский загрузчик, который затем шифрует таблицы мастер-файл системы (MFT) — специальный файл на разделах NTFS, который содержит информацию обо всех других файлах, таких как имена, размеров и отображения на жесткий секторов диска.

Satana не шифрует MFT, а  заменяет MBR со своим собственным кодом и затем сохраняет и шифрует оригинальную версию загрузчика, чтобы он мог восстановить его позже, если жертва платит выкуп.

В мае Вирус Петька объединился с отдельной программой вымогателей Mischa, который ведет себя более традиционно: он шифрует личные файлы пользователей напрямую, если он не может получить права администратора, чтобы атаковать MBR и MFT.

Satana использует ту же самую комбинацию традиционного шифрования файлов и шифрования MBR, но в той же программе. Сначала он шифрует пользовательские файлы с определенными расширениями, а затем терпеливо ждет первой перезагрузки, на котором она заменяет MBR. Затем пользователь видит экран с требованиями выкупа в размере 0,5 Bitcoin (около $ 340).


\»К сожалению, в настоящее время не существует никакого способа для расшифровки зашифрованных файлов Сатаной бесплатно,\» сказал Лоуренс Абрамс, основатель форум поддержки BleepingComputer.com технологий, в своем блоге.

Опытные пользователи могут и сами восстановить MBR, используя параметры восстановления Windows, и навыки работы с командной строкой Windows, и Bootrec.exe (восстановления загрузочного) инструмента, так что, скорее всего, за пределами возможностей обычных пользователей.

Текущая версия вируса Сатаны еще не слишком широко распространена, и имеет множество ошибок в коде. Тем не менее специалисты считают, что эта версия, скорее всего, послужит основой для других более опасных версии вируса.

Добавить комментарий