眾多勒索軟件之中,Petya 憑紅底白字的骷髏頭以及獨特的加密方式而為人熟識。最近有研究人員發現一款類似 Petya 的勒索軟件 Satana,會像 Petya 般加密硬碟主開機記錄,使電腦無法啟動。
繼 Petya 後又有勒索軟件加密 MBR
Satana 是「撒旦」的意大利文。該款勒索軟件與 Petya 最相似的地方是,兩者都會破壞硬碟原有的主開機記錄(MBR),使電腦無法進入 Windows。 Satana 執行後,當電腦重新啟動時就會顯示勒索通知。不過技術上 Satana 與 Petya 仍有不同之處。Petya 在安裝時會造成藍畫面以及加密硬碟的 Master File Table (MFT),但 Satana 不會。
Petya 於五月開始與另一勒索軟件 Mischa 合併,使它兼備破壞主開機記錄以及加密一般檔案的能力,Satana 亦一樣,可把文件和圖片檔等常見的檔案加密。不過 Petya 只會在無法破壞 MBR 時加密一般檔案,Satana 卻沒有「B 計劃」這回事,兩項加密會先後執行。
Satana 執行後會消失並把自己複製到暫存資料夾,並把檔案名稱換成隨機的名字,之後 Windows 會彈出使用者帳戶控制。如果用戶選擇不執行,該視窗會重復彈出,直到他們選擇執行。
研究人員指出,該款勒索軟件會留下動作記錄,加上程式有缺陷,很可能仍在開發階段,預料不會有大規模散播,但開發者已展示向破壞 MBR 的方向發展的興趣,下一個版本的「撇旦」會有所改善。
Source : Malwarebytes
