به تازگی یکی دیگر از نمونه های پیچیده یک باج افزار کشف شده است که لقب این باج افزار Satana است و ریشه نام آن به روسیه باز می گردد. این تروجان دو کار را انجام می دهد: فایل ها را رمزگذاری کرده و “مستر بوت رکورد” ویندوز(MBR) را آلوده می کند و در نتیجه روند بوت ویندوز مسدود می شود.
ما در حال حاضر در مورد باج افزاری صحبت می کنیم که MBR را آلوده می کند. باج افزار بدنام Petya هم یکی از نرم افزارهای این چنینی است. در برخی موارد Satana هم رفتاری شبیه این را دارد.
برای مثال کدهایش را به MBR تزریق می کند. البته فرق آن ها در این است که پتیا MFT را رمزگزاری می کند ولی ساتانا MBR را رمزگزاری می کند. برای رمزگزاری فایل های کامپیوتر Petya با کمک تروجانی که Mischa نامیده شده است این کار را انجام داده اما Satana هر دوی این وظایف را به تنهایی مدیریت می کند.
ما سعی می کنیم برای کسانی که با عملکرد داخلی کامپیوتر آشنا نیستند بیشتر توضیح دهیم تا بهتر متوجه شوند. MBR بخشی از هارد دیسک است. این بخش شامل اطلاعاتی بر روی سیستم فایل است که توسط قسمت های مختلف هارددیسک مورد استفاده قرار می گیرد که البته بخشی از سیستم عامل هم بر روی آن ذخیره شده است.
اگر MBR خراب یا رمزگزاری شود، کامپیوتر دسترسی به یک قطعه مهم را از دست می دهد که شامل قسمت سیستم عامل است. اگر کامپیوتر قادر به یافتن سیستم عامل نشود نمی تواند عملیات بوت کردن را انجام دهد.
مجرمان پشت باج افزارهایی مانند Satana با استفاده از این ترفند پنهان می شوند و کریپتولاکرهای خود را با قابلیت بوت لاکر افزایش می دهند. هکرها MBR را مبادله کرده و آن را با کدی از باج جایگزین می کنند، MBR را رمزگزاری و آن را به جای دیگر انتقال می دهند.
مبلغی که باج خواهان بابت رمزگشایی MBR و در دسترس قرار دادن کلید برای رمزگشایی فایل های آلوده درخواست کردند حدود ۰.۵بیت کوین بود (که تقریبا معادل ۳۴۰$ است). سازنده Satana می گوید: هنگامی که باج پرداخت شود، دسترسی به سیستم عامل قابل دسترس خواهد شد و همه چیز به حالت قبل باز می گردد. حداقل این چیزی است که آن ها می گویند.
زمانی که Satana در سیستم است، تمام درایوها و نمونه های شبکه را اسکن کرده و پسوندهای زیر را جستجو می کند .bak, .doc .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .۷z, .cpp, .pas, and .asm و asm. و رمزگزاری را شروع کنند. همچنین یک آدرس ایمیلی با سه آندرلاین برای شروع اسم فایل خود اضافه می کند( به عنوان مثال: test.jpg می تواند بهSarah_G@ausi.com___test.jpg تبدیل شود).
این آدرس ایمیل ها به منظور اطلاعات تماس برای قربانیان ساخته می شود که در آن دستورالعمل پرداخت و بعد از آن برای پس گرفتن کلید رمزگشا است. محققان تا به حال ۶نمونه از این نوع ایمیل آدرس ها که در این کمپین استفاده می شود را دیده اند.
خبر خوبی وجود دارد آن هم این است که می شود تا حدودی این قفل را دور زد: با مهارتی خاص، می توان MBR را ثابت نگه داشت. کارشناسان در کلوپ وبلاگ ویندوز دستورالعمل هایی برای ثابت نگه داشتن MBR با استفاده از ویژگی بازگردانی سیستم عامل در ویندوز ساخته اند. در هر صورت، این ویژگی برای کاربران باتجربه ای طراحی شده است که با این راهکار سریع بتوانند با آن به راحتی کار کنند.