Шифровальщик Satana подменяет MBR и шифрует файлы на зараженной системе.
Компания Malwarebytes опубликовала в своем блоге исследование нового образца вымогателя, наследующего функционал Petya и Mischa. Вредонос Satana обладает примерно теми же возможностями – умеет шифровать данные и подменяет MBR-запись (Master Boot Record), и точно также работает в двух режимах.
В первом режиме приложение пытается изменить MBR-запись для использования собственного загрузчика. Во втором режиме вредонос ведет себя как обычный шифровальщик. В отличии от ранее известной связки Petya и Mischa, вымогатель Satana использует оба режима совместно, т.е. подменяет MBR-запись и шифрует файлы на диске.
После попадания на систему вредонос шифрует файлы со следующими расширениями на локальных и сетевых дисках:
.bak .doc .jpg .jpe .txt .tex .dbf .db .xls .cry .xml .vsd .pdf . csv .bmp .tif .1cd .tax .gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn .stl .gho .v2i .3ds .ma .ppt .acc .vpd .odt .ods .rar .zip .7z .cpp .pas .asm
Затем шифровальщик подключается к C&C серверу по адресу 185.127.86.186 и передает данные о новом клиенте, а также ключ шифрования. Исследователи не смогли обнаружить место хранения ключа шифрования на зараженной системе. Предположительно, ключ шифрования хранится только на C&C сервере. Таким образом, если C&C сервер будет отключен или недоступен, даже после выплаты выкупа пользователь не сможет расшифровать файлы.
В образце, анализируемом экспертами, был указан некорректный номер биткойн-кошелька. Исследователи не исключают, что в их руки попала предрелизная версия вредоноса.
С подробным анализов вредоноса можно ознакомиться здесь .
Ладно, не доказали. Но мы работаем над этим