В мае 2016 года злоумышленники начали распространять вымогателя Petya «в комплекте» с Mischa, вторым шифровальщиком. Если первая малварь проникает в Master Boot Record (MBR) и препятствует загрузке ОС, то второй вредонос действует по классической схеме и просто шифрует данные, используя алгоритм AES. Эксперты обнаружили, что данная идея продолжает развиваться и нашла воплощение в новом вымогателе Satana.
Satana является смесью обычного вымогателя и механизмов работы Petya. Вымогатель шифрует файлы жертвы и удаляет теневые копии, как это делают другие вредоносы такого рода, и к каждому файлу злоумышленники добавляют свой email-адрес, то есть расширение файлов изменяется на «email-адрес____имяфайла.расширение». Также Satana шифрует MBR пользователя и заменяет собственной версией. При попытке включить зараженный компьютер, жертва увидит не свою операционную систему, а сообщение с требованием выкупа (см. иллюстрацию выше).
Исследователь Malwarebytes, известный под псевдонимом hasherezade, пишет, что, похоже, нашел способ расшифровать и восстановить оригинальный MBR, однако это не поможет спасти остальные данные. Вредонос использует мощный алгоритм шифрования, который пока не удалось взломать. При этом платить злоумышленникам выкуп, исследователь все равно не советует:
«Даже если жертвы заплатили выкуп, но они или управляющий сервер злоумышленников находились в офлайне, в момент осуществления шифрования, оплата не поможет», — пишет hasherezade.
Исследователь полагает, что ключ шифрования хранится исключительно на сервере злоумышленников. И хотя шифрование может быть осуществлено без подключения к интернету, ключ в таком случае будет утерян.
Также в отчете Malwarebytes сказано, что Satana явно находится в стадии разработки, так как код вредоноса пока изобилует багами, к примеру, эксперты заметили ошибку в работе генератора биткоин-кошельков. По мнению исследователей, Satana продолжит развиваться, и об этом шифровальщике мы еще услышим не раз.
Подробный разбор зловреда доступен в блоге Malwarebytes.