Приложение-вымогатель Satana шифрует главную загрузочную запись системы

В сети появилось очередное приложение-вымогатель, которое не просто шифрует файлы пользователей с определёнными расширениями, но и не даёт возможность загрузить операционную систему. Точно так же поступало приложение Petya, описанное в марте.

Приложение Satana представляет собой сочетание классического вымогателя и программ вроде Petya. Оно шифрует файлы, как и все прочие вымогатели. Перед именем каждого зашифрованного файла ставится адрес электронной почты злоумышленников, так что вся конструкция выглядит как email@domain.com____filename.extension. Далее шифруется главная загрузочная запись (MBR) операционной системы и на её место помещается другая. При первой перезагрузке компьютера появляется записка с требованием выкупа.

Исследователь с ником hasherezade из компании Malwarebytes уверен, что восстановить MBR можно, но зашифрованные файлы останутся зашифрованными. Впрочем, навыки для восстановления MBR через командную строку Windows есть далеко не у всех пользователей и процедура не гарантирует успеха на 100%.

Для шифрования файлов используется надёжный алгоритм, который невозможно взломать методом простого перебора. Однако даже выплата выкупа не гарантирует получения файлов обратно, особенно если командный сервер отключался во время шифрования файлов. Работа над этим приложением продолжается, в коде пока немало багов, так что в будущем можно ждать новой опасной функциональности.