باجافزاری به نام Satana شناسایی شده که فایلها را رمزگذاری کرده و مستر بوت رکورد ویندوز (MBR) را آلوده میکند و درنتیجه روند بوت ویندوز مسدود میشود.
بهتازگی یکی دیگر از نمونههای پیچیده یک باجافزار کشف شدهاست که لقب این باجافزار Satana است و ریشه نام آن به روسیه باز میگردد. این تروجان، فایلها را رمزگذاری کرده و مستر بوت رکورد ویندوز (MBR) را آلوده میکند و درنتیجه روند بوت ویندوز مسدود میشود.
ما در حال حاضر در مورد باجافزاری صحبت میکنیم که MBR را آلوده میکند. باجافزار بدنام Petya هم یکی از نرمافزارهای اینچنینی است. در برخی موارد Satana هم رفتاری شبیه این دارد. برای مثال کدهایش را به MBR تزریق میکند. البته فرق آنها در این است که پتیا MFT را رمزگزاری میکند ولی Satana ، MBR را رمزگذاری می کند. برای رمزگذاری فایلهای کامپیوتر Petya با کمک تروجانی که Mischa نامیده شدهاست این کار را انجام داده اما Satana هر دوی این وظایف را بهتنهایی مدیریت میکند.
ما سعی میکنیم برای کسانی که با عملکرد داخلی کامپیوتر آشنا نیستند بیشتر توضیح دهیم تا بهتر متوجه شوند. MBR بخشی از هارد دیسک است. این بخش شامل اطلاعاتی بر روی سیستم فایل است که توسط قسمتهای مختلف هارد دیسک مورد استفاده قرار میگیرد که البته بخشی از سیستمعامل هم بر روی آن ذخیره شدهاست.
اگر MBR خراب یا رمزگذاری شود، کامپیوتر دسترسی به یک قطعه مهم را از دست میدهد که شامل قسمت سیستم عامل است. اگر کامپیوتر قادر به یافتن سیستم عامل نشود نمیتواند عملیات بوت کردن را انجام دهد.
مجرمان با استفاده از این ترفند پشت باجافزارهایی مانند Satana پنهان میشوند و کریپتولاکرهای خود را با قابلیت بوت لاکر افزایش میدهند. هکرها MBR را مبادله کرده و آن را با کدی از باج جایگزین میکنند، MBR را رمزگذاری و آن را به جای دیگر انتقال میدهند.
مبلغی که باجخواهان بابت رمزگشایی MBR و در دسترس قرار دادن کلید برای رمزگشایی فایلهای آلوده درخواست کردند حدود ۰.۵ بیت کوین بود (که تقریبا معادل ۳۴۰ دلار است). سازنده Satana میگوید: هنگامی که باج پرداخت شود، دسترسی به سیستم عامل قابل دسترس خواهد شد و همهچیز به حالت قبل باز میگردد. حداقل این چیزی است که آنها میگویند.
زمانی که Satana در سیستم است، تمام درایوها و نمونههای شبکه را اسکن کرده و پسوندهای زیر را جستوجو میکند.
bak, .doc .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .۱cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v۲i, .۳ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .۷z, .cpp, .pas, and .asm و asm. و رمزگذاری را شروع میکنند. همچنین یک آدرس ایمیلی سه آندرلاین برای شروع اسم فایل خود اضافه میکند (بهعنوان مثال: test.jpg میتواند به Sarah_G@ausi.com___test.jpg تبدیل شود).
این آدرس ایمیلها بهمنظور اطلاعات تماس برای قربانیان ساخته میشود که در آن دستورالعمل پرداخت و بعد از آن برای پس گرفتن کلید رمزگشا است. محققان تا به حال ۶ نمونه از این نوع ایمیل آدرسها را که در این کمپین استفاده میشود، دیدهاند.
خوشبختانه میتوان تا حدودی این قفل را دور زد: با مهارتی خاص، میتوان MBR را ثابت نگهداشت. کارشناسان در کلوپ وبلاگ ویندوز دستورالعملهایی برای ثابت نگهداشتن MBR با استفاده از ویژگی بازگردانی سیستم عامل در ویندوز ساختهاند. در هر صورت، این ویژگی برای کاربران باتجربهای طراحی شدهاست که با این راهکار سریع بتوانند با آن بهراحتی کار کنند که این ابزار bootrec.exe است؛ اما احتمالا این راه برای یک کاربر معمولی خوشایند نباشد و با آن احساس راحتی نکند.
در عین حال خبر بدی هم وجود دارد که با وجود اینکه ویندوز موفق شد قفل را باز کند اما نیمی دیگر از مشکل پابرجاست و رمزگذاری فایلها همچنان سرجای خودش است.
در این مرحله، بهنظر میرسد که Satana شروع باجافزارهای حرفهای را با خود به همراه داشتهاست. البته این باجافزار هنوز همهگیر نشده و محققان عیوبی را در کدگذاری این نوع باجافزار یافتهاند. به هر حال، فرصت خوبی است که راهکارهای امنیتی خود را قوی کنید تا خطر ریسک آلودگی را کاهش دهید و تا حد امکان از خطرات این چنینی در امان بمانید.
بهطور مداوم از فایلهای خود بکآپ بگیرید: این راهکار برای شما همانند بیمهنامه است. در صورت حمله باجافزارها، شما میتوانید سیستم عامل خود را مجدد نصب کنید و فایلهای خود را از نسخه بکآپ بازیابی کنید.
وب سایت و ایمیلهای مشکوک را بههیچوجه باز نکنید: حتی اگر لینک یا ایمیلی از شخصی است که شما میشناسید بازهم آن را باز نکنید. برای این کار بسیار محتاطانه عمل کنید: بهتر است کمی در مورد راهها و تکنیکهای انتشار باجافزار Satana بدانید.
به یک آنتیویروس امنیتی مطمئن اعتماد کنید: اینترنت سکیوریتی کسپرسکی، Satana را بهعنوان Trojan-Ransom.Win۳۲.Satan شناسایی میکند و مانع رمزگذاری یا قفل کردن سیستم شما میشود.