Οι απατεώνες δουλεύουν πάνω σε ένα νέο ransomware που καταστρέφει το master boot record (MBR) σας, ακριβώς όπως το Petya τον περασμένο Μάρτιο. Ονομάζεται Satana (“Σατανάς” σε μερικές λατινογενείς γλώσσες) και είναι ένας συνδυασμός ανάμεσα σε ένα κλασικό ransomware και στο Petya.
Όπως γράφει το secnews.gr, το Satana λειτουργεί κρυπτογραφώντας τα αρχεία σας, χρησιμοποιώντας τις ίδιες μεθόδους με άλλες ransomware οικογένειες. Για κάθε κρυπτογραφημένο αρχείο αυτό το νέο ransomware εισάγει μπροστά τη διεύθυνση ηλεκτρονικού ταχυδρομείου του απατεώνα σε κάθε αρχείο, κάπως έτσι: “[email protected]____filename.extension”.
Το Satana στη συνέχεια κρυπτογραφεί το MBR και το αντικαθιστά με το δικό του. Την πρώτη φορά που ένας χρήστης κάνει επανεκκίνηση στον υπολογιστή του, ο MBR κώδικας εκκίνησης του Satana φορτώνεται και ο υπολογιστής δε ξεκινά, εμφανίζοντας το σημείωμα που ζητά λύτρα.
Αναλύτρια ασφαλείας από τη Malwarebytes λέει ότι είναι δυνατόν να ανακτηθεί το αρχικό MBR, αλλά αυτό δε θα ανακτήσει κατ’ ανάγκη και τα υπόλοιπα κρυπτογραφημένα αρχεία. Η διαδικασία ανάκτησης των MBR αρχείων μέσω του δυσκίνητου command-line interface των Windows είναι κάτι που πολύ λίγοι είναι σε θέση να ακολουθήσουν σωστά, επομένως ακόμη και αυτή η διαδικασία μπορεί να μην είναι 100% επιτυχής ώστε να βοηθήσει τους χρήστες να ανακτήσουν την πρόσβαση στον υπολογιστή τους.
Ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται για τα υπόλοιπα αρχεία είναι πολύ ισχυρός και δεν μπορεί να γίνει brute-force σ’ αυτόν, αφήνοντας τα αρχεία κλειδωμένα, εκτός αν ο χρήστης αποφασίσει να πληρώσει τα λύτρα, κάτι το οποίο δε θα συμβούλευε η αναλύτρια.
“Ακόμα και τα θύματα που θα πληρώσουν, μπορεί να μην πάρουν πίσω τα αρχεία τους, αν οι ίδιοι (ή ο C&C server) είναι offline, όταν συμβεί η κρυπτογράφηση”, γράφει.
Σύμφωνα με την αναλύτρια της Malwarebytes, το ransomware μοιάζει με ένα project σε εξέλιξη, καθώς οι προγραμματιστές του εξακολουθούν να πειραματίζονται με τον κώδικά του, ο οποίος περιέχει πολλά σφάλματα, οπότε αυτή μπορεί να μην είναι η τελευταία φορά που ακούμε για το Satana.
Μετά την εμφάνιση του Petya το Μάρτιο, ένα μήνα αργότερα οι ερευνητές ασφαλείας βρήκαν έναν τρόπο να ανακτήσουν τα αρχεία που είχαν κλειδωθεί.Ένα μήνα μετά, τον Μάιο, οι απατεώνες άλλαξαν τον τρόπο που διένειμαν το Petya μαζί με ένα δεύτερο ransomware που ονομάζεται Mischa, το οποίο ήταν ένα σύνηθες ransomware που κλείδωνε τα αρχεία, ενώ το Petya κλειδώνει το MBR. Το Satana φαίνεται να είναι η εξέλιξη αυτής της τελευταίας ιδέας και περιμένουμε να δούμε πώς θα εξελιχθεί.
