|
新桑塔纳勒索加密用户的文件和硬盘的主引导记录,灰鸽子远程控制软件,灰鸽子
这是离开电脑后彼佳开机无法进入操作系统的第二勒索威胁
攻击者开发Windows机器加密用户的文件以及计算机的主引导记录一个积极的新的勒索计划(MBR),剩下的设备无法加载操作系统。
该计划被称为“撒旦”的斗争--这意味着意大利和罗马尼亚-,据安全公司的Malwarebytes研究人员,它是功能但仍在开发中。
桑塔纳是影响MBR二勒索威胁,似乎由另一个程序、彼佳、月出现。
MBR代码存储在一个硬盘的第一个扇区,包含关于磁盘的分区信息并启动操作系统的引导加载程序。没有一个合适的MBR,电脑不知道哪个分区包含操作系统和它是如何开始的。
桑塔纳和彼佳有显著差异。例如,彼佳取代MBR为了推出一个自定义的bootloader,然后加密系统的主文件表(MFT)——NTFS分区上,包含了所有其他文件、信息的特殊文件名称、大小和映射到硬盘扇区。
桑塔纳不加密的MFT。它只是取代MBR与它自己的代码和存储加密的原始版本的引导记录,所以它可以恢复它如果受害者支付赎金。这使电脑无法启动,但可以固定更容易如果MFT也被加密。
五月,彼佳结合单独的勒索计划,称为米莎,具有一个更传统的行为:它加密的用户个人文件直接如果不能获得管理员权限来攻击MBR和MFT。
桑塔纳采用传统的文件加密和MBR加密相同的组合,但在相同的程序。它首先加密用户具有特定扩展名的文件,然后耐心的等待第一次重新启动,此时它取代MBR。然后,用户看到一个屏幕,要求赎金支付0.5比特币(约340美元)。
这个程序使非技术用户恢复系统更难,因为这会迫使他们使用一个单独的计算机来进行支付,为受影响的计算机无法启动到Windows。
“不幸的是,在这个时候没有办法解密桑塔纳加密文件是免费的,”劳伦斯说艾布拉姆斯的bleepingcomputer.com技术支持论坛的创始人,在一篇博客文章。
用户可以通过使用Windows故障恢复选项修复MBR,但这需要与Windows命令行和bootrec.exe工作(开机恢复)工具,因此有可能超越典型用户的能力。
当前版本的桑塔纳还没有广泛分布,和研究人员不相信它会因为代码是不成熟和有缺陷。然而,他们相信这个版本将有可能作为未来改进的基础。 |
|