W tym roku informacje na temat ataków programów wymuszających zapłatę pojawiały się jak grzyby po deszczu — niemal co chwilę. Każdego dnia badacze wynajdują nowe odmiany zagrożeń z dziedziny ransomware oraz odkrywają niekonwencjonalne metody, których cyberprzestępcy używają do kradzieży pieniędzy bezpośrednio od użytkowników i firm. A gdy tylko eksperci bezpieczeństwa zrobią jakiś postęp, oszuści wymyślają nowe techniki dystrybucji i działania ransomware.
Niedawno wykryto nową, dosyć niecodzienną próbkę ransomware. Szkodliwy program nazywa się Satana (Szatan), co może sugerować jego rosyjskie pochodzenie. Trojan szyfruje pliki i uszkadza strukturę Master Boot Record (MBR) na dysku, blokując tym samym proces rozruchu Windowsa.
Jakiś czas temu omawialiśmy trojany, które ingerowały w rekord MBR — jednym z takich szkodliwych programów jest ransomware Petya. W pewnym stopniu Satana zachowuje się podobnie, wstrzykując na przykład swój własny kod do MBR. Różni ich obiekt szyfrowania: Petya zajmuje się strukturą Master File Table (MFT), a Satana atakuje MBR. Aby zaszyfrować pliki na komputerze, Petya korzysta z pomocy towarzyszącego mu kompana — trojana Mischa, natomiast Satana wykonuje oba zadania samodzielnie.
Jeśli nie masz dużej wiedzy na temat działania komputerów na głębszym poziomie, zacznę od nakreślenia podstaw. MBR to część dysku twardego. Zawiera informacje na temat systemu plików używanych przez różne partycje dysku, a także o tym, na której partycji znajduje się system operacyjny.
Jeśli MBR zostanie uszkodzony — lub zaszyfrowany — komputer traci dostęp do krytycznej informacji: która partycja przechowuje system operacyjny. Jeśli komputer nie może go znaleźć, nie może się uruchomić. Osoby stojące za programami takimi jak Satana korzystają z tego faktu i zwiększają możliwości kryptolokera, dodając do niego funkcje blokujące rozruch. Hakerzy zamieniają MBR, zastępując go kodem informacji o okupie, szyfrują i przenoszą MBR gdzieś indziej.
Za odszyfrowanie struktury MBR i udostępnienie klucza umożliwiającego odszyfrowanie zajętych plików ransomware żąda około pół bitcoina (ok. 340 dolarów). Autorzy zagrożenia Satana twierdzą, że gdy ofiara zapłaci okup, przywrócą dostęp do systemu operacyjnego i wszystko wróci do normalnego stanu. A przynajmniej tak mówią.
Po przedostaniu się do systemu Satana skanuje wszystkie dostępne dyski (łącznie z zasobami sieciowymi) w poszukiwaniu plików z rozszerzeniem .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas i .asm. Następnie zaczyna je szyfrować. Ponadto dodaje na początku nazwy pliku adres e-mail i trzy symbole podkreślenia (np. plik test.jpg otrzymuje nazwę Sarah_G@ausi.com___test.jpg).
Informacja o adresie e-mail ma umożliwić ofiarom kontakt w celu uzyskania instrukcji płatności i otrzymania klucza do odszyfrowania danych. Jak dotąd badacze zarejestrowali sześć adresów, które zostały użyte w ramach tej kampanii.
Dobra wiadomość jest taka, że blokadę można częściowo ominąć: posiadając pewne umiejętności, można naprawić rekord MBR. Eksperci z bloga The Windows Club opracowali szczegółową instrukcję wyjaśniającą, jak to zrobić przy użyciu funkcji przywracania systemu w Windowsie. Należy jednak pamiętać, że funkcja ta jest stworzona z myślą o doświadczonych użytkownikach, którzy potrafią pracować z wierszem poleceń i narzędziem bootrec.exe, a przeciętny użytkownik może nie czuć się na siłach w tym temacie.
Zła wiadomość jest taka, że nawet po pomyślnym odblokowaniu systemu Windows trzeba jeszcze odszyfrować pliki. A na to, niestety, nie odnaleziono jeszcze antidotum.
Wygląda na to, że Satana dopiero rozpoczyna swoją karierę w świecie ransomware: nie jest zbyt powszechny, a w jego kodzie badacze odnaleźli kilka luk. Niewykluczone jednak, że z biegiem czasu będzie coraz lepszy i stanie się całkiem poważnym zagrożeniem.
Użytkownikom radzimy przede wszystkim zachowanie czujności. Postępując zgodnie z naszymi poradami, można zmniejszyć ryzyko infekcji:
- Regularnie twórz kopie zapasowe swoich danych. Traktuj tę czynność jak polisę na przyszłość. W przypadku infekcji ransomware wystarczy przeinstalować system i pobrać pliki z kopii zapasowej.
- Nie klikaj podejrzanych odnośników ani nie otwieraj podejrzanych załączników przesłanych w poczcie, nawet jeśli wiadomość pochodzi od osoby, którą znasz. Bądź ostrożny: mało jeszcze wiemy na temat sposobów dystrybucji zagrożenia Satana.
- Używaj solidnego antywirusa. Kaspersky Internet Security wykrywa Satanę jako zagrożenie Trojan-Ransom.Win32.Satan i uniemożliwia mu szyfrowanie plików czy blokowanie systemu.
- Czytuj nasze informacje! Bo zawsze staramy się informować o najnowszych zagrożeniach tak szybko, jak to możliwe, aby szkodliwe programy Cię nie zaskoczyły.