• Главная
  • Карта сайта
Не найдено

Троян «Сатана» поєднує в собі шифрувальник і блокувальник

Новини про атаки троянів-вимагачів в цьому році нагадують зведення з поля бою: дослідники буквально кожен день виявляють нові штами програм-вимагачів і розкривають нові хитрощі, якими користуються автори вірусів в прагненні максимально швидко зірвати куш. Але варто експертам просунутися вперед, як зловмисники винаходять нові способи вимагання. Новини про атаки троянів-вимагачів в цьому році нагадують зведення з поля бою: дослідники буквально кожен день виявляють нові штами програм-вимагачів і розкривають нові хитрощі, якими користуються автори вірусів в прагненні максимально швидко зірвати куш

Нещодавно з'явився черговий хитромудрий зразок вимагача - він отримав зловісне ім'я «Сатана» (Satana), що вказує на його, ймовірно, російське походження. Вимагач робить відразу дві речі: шифрує зберігаються на комп'ютері дані і підміняє головний завантажувальний запис Windows (Master Boot Record, MBR), відрізаючи жертві доступ до операційної системи.

Троянця, шифрувати MBR, ми не так давно описували - це сумнозвісний «Петя» (Petya) . У чомусь «Сатана» поводиться так само, як і Petya, що запускає замість завантажувача з MBR власний код. А в чомусь - по-іншому: якщо Petya шифрує головний файловий таблицю (Master File Table, MFT), то Satana замість цього шифрує то, що було в MBR. При цьому для шифровки файлів на диску творець «Петі» використовував іншу шкідливу програму - Петіна «Приятеля» «Мішу» (Mischa), тоді як «Сатана» справляється власними силами з обома завданнями.

Для тих, кому здалося, що в попередньому абзаці занадто багато всього незрозумілого, спробуємо пояснити трохи докладніше. MBR, головна запис, - це частина жорсткого диска, в якій міститься інформація про те, які файлові системи використовуються на різних розділах диска і з якого розділу, власне, комп'ютера треба завантажувати систему.

Якщо MBR пошкоджена, комп'ютер не може дізнатися, в якому розділі диска міститься ОС. В результаті операційна система просто не запуститься. Цим і вирішили скористатися зловмисники, додавши до шифрувальником функціональність блокера на рівні MBR - «Сатана» ставить замість MBR код-заглушку з повідомленням, а вміст головного завантажувального запису шифрує і складає на зберігання.

Як викуп за відновлення доступу до Windows і ключ зловмисник вимагає полбіткойна (приблизно $ 340). Якщо жертва заплатить викуп, кіберзлочинець обіцяє повернути доступ, тобто прибрати з MBR код-заглушку, розшифрувати вміст того, що там було раніше, і повернути його на місце.
Також, просочившись в комп'ютер жертви, Satana в фоновому режимі сканує всі локальні диски і мережеві інстанції на наявність файлів з розширеннями .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf , .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas,. asm, а потім починає їх шифрувати, додаючи адреса електронної пошти та три наступних поспіль символу «_» перед ім'ям файлу (наприклад, test.jpg перетворюється в [email protected]___test.jpg).

Мається на увазі, що жертва повинна звернутися на цю електронну адресу, щоб отримати інструкції для оплати викупу, а потім, після оплати, - ключ для розшифровки. Поки дослідники знають про шести email-адреси, використовувані в кампанії.

Насправді, так би мовити, з половиною «Сатани» впоратися можна - при наявності певних навичок вийде повернути доступ до системи. Автори блогу The Windows Club пропонують докладну інструкцію по «лагодження» MBR через функцію відновлення ОС в Windows. Однак скористатися нею зможуть лише досвідчені користувачі, які вміють працювати з командним рядком Windows і утилітою bootrec.exe, тоді як у звичайних користувачів це може викликати труднощі.

Але навіть якщо доступ до Windows вийде відновити, від другої половини «Сатани» - шифрувальника файлів - поки що ліки не знайдено.

Поки Satana знаходиться на самому початку своєї здирницькою кар'єри: він не дуже поширений, до того ж дослідники відзначають, що його код містить помилки. Але висока ймовірність, що після перших пробних вилазок зловредів зміцніє і перетвориться в дуже небезпечну загрозу.

У цій ситуації користувачам залишається тільки проявляти максимальну обережність. Наші рекомендації допоможуть знизити ризик зараження і уникнути неприємностей:

1. Регулярно робіть резервні копії своїх даних.
При наявності резервних копій навіть в разі успішної атаки можна просто перевстановити систему, записати назад свої дані і не платити викуп.

2. Не заходьте на підозрілі сайти і не відкривайте підозрілі вкладення в електронній пошті, навіть якщо повідомлення прийшло від вашого знайомого. Будьте дуже уважні - про способи поширення нового зловредів поки відомо мало.

3. Подбайте про наявність надійного антивірусного рішення - наприклад, Kaspersky Internet Security розпізнає «Сатану» як Trojan-Ransom.Win32.Satan і не дозволяє йому ні шифрувати файли, ні блокувати завантаження системи.

4. І, звичайно, стежте за нашими новинами!
Ми намагаємося своєчасно розповідати вам про новітні загрози, щоб зловмисники не застали вас зненацька.

Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью