今年,有关勒索软件攻击的新闻可谓层出不穷—且没有丝毫消停的意思。每天,安全研究人员都能发现新的勒索软件种类,以及犯罪分子从个人和企业用户那儿窃取资金的最新方法。只要安全专家们稍稍取得些进展,犯罪分子又会想出更新的勒索软件攻击方法和技术。
就在最近,研究人员又发现了另一种复杂的勒索软件样本。该恶意软件被称为Satana (”Satan”),似乎又和讲俄语的犯罪分子有关。该木马病毒主要有两种功能:加密文件并破坏Windows 的主引到记录(MBR),以及阻止Windows系统的启动过程。
此前,我们曾谈到过有关破坏MBR的木马病毒—名声不佳的Petya勒索软件就是其中之一。在某种程度上,Satana的行为与Petya十分相似,例如:将其代码植入MBR内。但区别在于,Petya加密的是主文件表(MFT),而Satana加密的是MBR。此外,为了加密PC电脑文件,Petya还需依赖其”好伙伴”-Mischa木马病毒;而Satana则独立完成所有任务。
对于那些不熟悉计算机内在工作模式的人来说,我们会尽量解释得浅显易懂。MBR是硬盘的一部分。内含有关各磁盘分区所用文件系统以及存储操作系统分区的信息。
一旦MBR遭破坏—或被加密—计算机就无法访问关键的信息部分:即含操作系统的部分。一旦计算机无法找到操作系统,也就没办法启动。而Satana勒索软件正是利用了这一设置,为其cryptolocker强化各项bootlocker功能。网络黑客通过将MBR换成”勒索信”代码,对MBR进行加密并移至其他位置。
该勒索软件要求受害人支付约0.5个比特币(约合340美元)的赎金,如此才能解密MBR并提供解密被加密文件的密钥。据Satana的作者称,只要支付了赎金,就会恢复用户访问操作系统的权限,并解密所有文件,且看上去与原先毫无差别。不管怎么说,这就是他们的原话。
一旦Satana成功潜入系统,就会扫描全部硬盘和网盘,搜寻所有后缀是.bak、.doc、.jpg、.jpe、.txt、.tex、.dbf、.db、.xls、.cry、.xml、.vsd、.pdf、.csv、.bmp、.tif、.1cd、.tax、.gif、.gbr、.png、.mdb、.mdf、.sdf、.dwg、.dxf、.dgn、.stl、.gho、.v2i、.3ds、.ma、.ppt、.acc、.vpd、.odt、.ods、.rar、.zip、.7z、.cpp、.pas以及.asm的文件,并开始加密。此外,还会在文件名开头添加邮箱地址和3条下划线(例如:test.jpg就变成了Sarah_G@ausi.com___test.jpg)。
添加邮箱地址的目的是告知受害人自己的联系方式,只有发信至这一地址才能得到支付指令,付款后即可得到解密密钥。迄今为止,研究人员已发现了6个邮箱地址。
好消息是,我们一定程度上可以避免文件被锁:借助一些专业技能可以修复MBR。The Windows Club博客的专家就提供了有关如何通过使用Windows操作系统恢复功能修复MBR的详细指南。然而,这一方法是为那些经常使用命令提示符和bootrec.exe工具的专业用户而准备;普通用户不太可能立即上手,且操作起来相当困难。坏消息是,即便成功解锁Windows,另一半问题-被加密的文件也仍然存在。且目前为止还没有好的办法。
目前,Satana勒索软件的破坏活动似乎才刚刚开始:其传播范围依然有限,而研究人员们已经发现了代码中的一些漏洞。但随着时间的过去,Satana一定会不断改进,最终演变成一个”庞然大物”。
我们给用户的第一条建议就是时刻保持安全警惕。尽管很简单,但的确能帮助你降低病毒感染风险并尽可能远离麻烦:
1.定期备份资料
这是最保险的做法。就算不幸遭到勒索软件攻击,只需重装操作系统并从备份中恢复文件即可。
2.千万不要访问可疑的网站,也不要打开可疑的邮件附件,就算是你认识的人发给你的链接或电邮。因此要万分小心:因为目前对Satana的传播技术知之甚少。
3.确保使用一款可靠的反病毒解决方案。卡巴斯基安全软件不仅能检测出Trojan-Ransom.Win32.Satan,还能防止文件被加密或系统被锁。
4.当然,时刻关注我们的安全新闻!
我们会尽可能在第一时间为您带来有关最新网络威胁的资讯,从而让读者们能提前防范各种恶意软件的突然袭击。