Satana: адский троянец-вымогатель

[KL FC Bot 143]

Новости об атаках троянов-вымогателей в этом году напоминают сводки с поля боя: исследователи буквально каждый день обнаруживают новые штаммы программ-вымогателей и раскрывают новые уловки, которыми пользуются вирусописатели в стремлении максимально быстро сорвать куш. Но стоит экспертам продвинуться вперед, как злоумышленники изобретают новые способы вымогательства.

Недавно появился очередной хитроумный образец вымогателя — он получил зловещее имя «Сатана» (Satana), что указывает на его, вероятно, российское происхождение. Вымогатель делает сразу две вещи: шифрует хранящиеся на компьютере данные и подменяет главную загрузочную запись Windows (Master Boot Record, MBR), отрезая жертве доступ к операционной системе.

Троянца, шифровавшего MBR, мы не так давно описывали — это печально известный «Петя» (Petya). В чем-то «Сатана» ведет себя так же, как и Petya, запускающий вместо загрузчика из MBR собственный код. А в чем-то — по-другому: если Petya шифрует главную файловую таблицу (Master File Table, MFT), то Satana вместо этого шифрует то, что было в MBR. При этом для шифровки файлов на диске создатель «Пети» использовал другую вредоносную программу — Петиного «приятеля» «Мишу» (Mischa), тогда как «Сатана» справляется собственными силами с обеими задачами.

 

Читать далее >>