Οι απατεώνες δουλεύουν πάνω σε ένα νέο εμπορικό σήμα ransomware που καταστρέφει το master boot record (MBR) σας, ακριβώς όπως το Petya έκανε τον περασμένο Μάρτιο. Ονομάζεται Satana (“Σατανάς” σε μερικές λατινογενείς γλώσσες) και αυτό ransomware είναι ένας συνδυασμός ανάμεσα σε ένα κλασικό ransomware και του Petya.
Το Satana λειτουργεί κρυπτογραφώντας τα αρχεία σας, χρησιμοποιώντας τις ίδιες μεθόδους που και άλλες ransomware οικογένειες χρησιμοποιούν. Για κάθε κρυπτογραφημένο αρχείο, αυτό το νέο ransomware εισάγει μπροστά τη διεύθυνση ηλεκτρονικού ταχυδρομείου του απατεώνα σε κάθε αρχείο, κάπως έτσι: “email@domain.com____filename.extension”
Το Satana στη συνέχεια κρυπτογραφεί το MBR και το αντικαθιστά με το δικό του. Η πρώτη φορά που ένας χρήστης κάνει επανεκκίνηση στον υπολογιστή του, ο MBR κώδικας εκκίνησης του Satana θα φορτωθεί και ο υπολογιστής δεν θα ξεκινήσει, δείχνοντας το σημείωμά του για λύτρα.
Η ερευνητής ασφαλείας hasherezade από τη Malwarebytes λέει ότι είναι δυνατόν να ανακτηθεί το αρχικό MBR, αλλά αυτό δεν θα ανακτήσει κατ’ ανάγκη και τα υπόλοιπα κρυπτογραφημένα αρχεία. Η ανάκτηση των MBR αρχείων μέσω της δυσκίνητης command-line διεπαφής των Windows είναι κάτι που πολύ λίγοι άνθρωποι είναι σε θέση να ακολουθήσουν σωστά, επομένως ακόμη και αυτή η διαδικασία μπορεί να μην είναι 100% επιτυχής ώστε να βοηθήσει τους χρήστες να ανακτήσουν την πρόσβαση στον υπολογιστή τους.
Ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται για τα υπόλοιπα αρχεία είναι πολύ ισχυρός και δεν μπορεί να γίνει brute-force σ’ αυτόν, αφήνοντας τα αρχεία κλειδωμένα, εκτός αν ο χρήστης αποφασίσει να πληρώσει τα λύτρα, κάτι το οποίο δεν θα συμβούλευε η hasherezade.
“Ακόμα και τα θύματα που θα πληρώσουν, μπορεί να μην πάρουν πίσω τα αρχεία τους, αν οι ίδιοι (ή ο C&C server) είναι offline, όταν συμβεί η κρυπτογράφηση”, γράφει.
Σύμφωνα με την αναλύτρια της Malwarebytes, το ransomware μοιάζει με ένα έργο σε εξέλιξη, καθώς οι προγραμματιστές του εξακολουθούν να πειραματίζονται με τον κώδικά του, ο οποίος περιέχει πολλά σφάλματα, οπότε αυτή μπορεί να μην είναι η τελευταία φορά που ακούμε για το Satana.
Μετά την εμφάνιση του Petya το Μάρτιο, ένα μήνα αργότερα, οι ερευνητές ασφαλείας βρήκαν έναν τρόπο να ανακτήσουν τα αρχεία που είχαν κλειδωθεί.
Ένα μήνα μετά, τον Μάιο, οι απατεώνες αλλάξαν τον τρόπο που διένειμαν το Petya πακέτο με ένα δεύτερο ransomware που ονομάζεται Mischa, το οποίο ήταν ένα σύνηθες ransomware που κλείδωνε τα αρχεία, ενώ το Petya κλειδώνει το MBR. Το Satana φαίνεται να είναι η εξέλιξη αυτής της τελευταίας ιδέας.
