|
|
新桑塔納勒索加密用戶的文件和硬盤的主引導(dǎo)記錄,灰鴿子遠(yuǎn)程控制軟件,灰鴿子
![]()
這是離開電腦后彼佳開機(jī)無(wú)法進(jìn)入操作系統(tǒng)的第二勒索威脅
攻擊者開發(fā)Windows機(jī)器加密用戶的文件以及計(jì)算機(jī)的主引導(dǎo)記錄一個(gè)積極的新的勒索計(jì)劃(MBR)�,剩下的設(shè)備無(wú)法加載操作系統(tǒng)�。
該計(jì)劃被稱為“撒旦”的斗爭(zhēng)--這意味著意大利和羅馬尼亞-,據(jù)安全公司的Malwarebytes研究人員����,它是功能但仍在開發(fā)中。
桑塔納是影響MBR二勒索威脅��,似乎由另一個(gè)程序����、彼佳、月出現(xiàn)����。
MBR代碼存儲(chǔ)在一個(gè)硬盤的第一個(gè)扇區(qū)�,包含關(guān)于磁盤的分區(qū)信息并啟動(dòng)操作系統(tǒng)的引導(dǎo)加載程序。沒有一個(gè)合適的MBR��,電腦不知道哪個(gè)分區(qū)包含操作系統(tǒng)和它是如何開始的����。
桑塔納和彼佳有顯著差異。例如�,彼佳取代MBR為了推出一個(gè)自定義的bootloader��,然后加密系統(tǒng)的主文件表(MFT)——NTFS分區(qū)上�,包含了所有其他文件�、信息的特殊文件名稱、大小和映射到硬盤扇區(qū)����。
桑塔納不加密的MFT。它只是取代MBR與它自己的代碼和存儲(chǔ)加密的原始版本的引導(dǎo)記錄��,所以它可以恢復(fù)它如果受害者支付贖金����。這使電腦無(wú)法啟動(dòng),但可以固定更容易如果MFT也被加密�。
五月,彼佳結(jié)合單獨(dú)的勒索計(jì)劃��,稱為米莎��,具有一個(gè)更傳統(tǒng)的行為:它加密的用戶個(gè)人文件直接如果不能獲得管理員權(quán)限來(lái)攻擊MBR和MFT�。
桑塔納采用傳統(tǒng)的文件加密和MBR加密相同的組合,但在相同的程序��。它首先加密用戶具有特定擴(kuò)展名的文件��,然后耐心的等待第一次重新啟動(dòng),此時(shí)它取代MBR��。然后�,用戶看到一個(gè)屏幕,要求贖金支付0.5比特幣(約340美元)��。
這個(gè)程序使非技術(shù)用戶恢復(fù)系統(tǒng)更難��,因?yàn)檫@會(huì)迫使他們使用一個(gè)單獨(dú)的計(jì)算機(jī)來(lái)進(jìn)行支付����,為受影響的計(jì)算機(jī)無(wú)法啟動(dòng)到Windows。
“不幸的是��,在這個(gè)時(shí)候沒有辦法解密桑塔納加密文件是免費(fèi)的����,”勞倫斯說(shuō)艾布拉姆斯的bleepingcomputer.com技術(shù)支持論壇的創(chuàng)始人�,在一篇博客文章。
用戶可以通過(guò)使用Windows故障恢復(fù)選項(xiàng)修復(fù)MBR��,但這需要與Windows命令行和bootrec.exe工作(開機(jī)恢復(fù))工具��,因此有可能超越典型用戶的能力�。
當(dāng)前版本的桑塔納還沒有廣泛分布����,和研究人員不相信它會(huì)因?yàn)榇a是不成熟和有缺陷����。然而,他們相信這個(gè)版本將有可能作為未來(lái)改進(jìn)的基礎(chǔ)��。 |
|
加載中...
發(fā)表于 2016-7-3 00:25:13
收藏