Satana Ransomware加密用户文件和主引导记录
发布时间:2021-11-09 21:57:34 所属栏目:通讯 来源:互联网
导读:攻击者正在为Windows机器开发一个激进的新赎金软件程序,用于加密用户文件以及计算机的主引导记录(MBR),使设备无法加载OS。 该计划被称为Satana - 意大利和罗马尼亚语的意思是撒旦 - 并且根据安全公司Malwarebytes的研究人员的说法,它是功能的,但仍在开
|
攻击者正在为Windows机器开发一个激进的新赎金软件程序,用于加密用户文件以及计算机的主引导记录(MBR),使设备无法加载OS。 该计划被称为Satana - 意大利和罗马尼亚语的意思是“撒旦” - 并且根据安全公司Malwarebytes的研究人员的说法,它是功能的,但仍在开发中。 Satana是影响MBR的第二个赎金软件威胁,似乎受到了另一个程序的启发,即3月出现的Petya。 MBR代码存储在硬盘驱动器的第一个扇区中,包含有关磁盘的分区的信息,并启动操作系统的引导加载程序。如果没有适当的MBR,计算机Don“T知道哪些分区包含操作系统以及如何启动它。 Satana和Petya之间存在显着差异。例如,Petya替换了MBR,以启动自定义引导加载程序,然后将系统的主文件表(MFT)加密 - NTFS分区上的特殊文件,其中包含有关所有其他文件的信息,如名称,大小和映射硬盘扇区。 Satana并不加密MFT。它只需用自己的代码替换MBR并存储原始引导记录的加密版本,因此如果受害者支付赎金,则可以稍后恢复。这使计算机无法释放,但可以更容易地修复,而不是如果MFT也被加密。 5月,Petya与单独的赎金软件程序相结合,称为Mischa,它展示了一种更传统的行为:它会加密用户“如果它可以直接加密个人文件”,则可以获得攻击MBR和MFT的管理员权限。 Satana使用传统的文件加密和MBR加密的相同组合,但在同一程序中。它首先使用特定扩展加密用户文件,然后耐心等待第一次重新引导,此时它替换MBR。然后,用户看到一个屏幕要求赎金的账单,价格为0.5比特币(约340美元)。 此例程使Nontechnical用户更难恢复其系统,因为它迫使它们使用单独的计算机进行付款,因为受影响的计算机无法再启动到Windows中。 “遗憾的是,此时没有办法免费解密Satana加密文件,”BleepingComputer.com技术支持论坛的创始人劳伦斯·亚伯拉姆说,在博客文章中。 用户可能能够使用Windows恢复选项修复MBR,但这需要使用Windows命令行和BootRec.exe(引导恢复)工具,因此可能超出典型用户的能力。 目前的Satana版本尚未被广泛分布,研究人员不指望它将是因为代码尚未成熟并具有缺陷。但是,他们认为这个版本可能是未来改进的基础。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读