骗子正在开发一种新的勒索软件, 就像3月份Petya所做的那样,它可以干扰你的主引导记录(MBR)。

这款勒索软件名为Satana(在罗曼斯语中意为“撒旦”),它是常见勒索软件与Petya的混合体。

Satana和其他的勒索软件一样,通过加密文件这种方式来运作。Satana会给每一个加密文件的名字上添加骗子的邮件地址:email@domain.com____filename.extension。

随后Satana会加密MBR,并将其替换成自己的文件。当用户首次重新启动电脑时, Satana的 MBR引导代码将会加载,电脑会无法启动,并显示Satana的勒索信。

支付赎金并不总是有效的

Malwarebytes的安全研究员hasherezade说,恢复回原来的MBR是可能的,但未必能找回其余的加密文件。通过Windows繁琐的命令行界面恢复MBR记录是很困难的,很少有人能够做到这一点,所以即使经过了这个过程,也不能100%确保用户能够重新访问他们的个人电脑。

hasherezade说,在其余文件上使用的加密算法是非常强大的,不能强行破解, 除非用户决定支付赎金,否则还不如让这些文件处于锁定状态。

Satana还是一个半成品

她写道:“如果在加密发生时,受害者正处于离线状态,那么即使他们付了赎金,也不一定能找回自己的文件。”

这名Malwarebytes分析师说,这款勒索软件看上去还是一个半成品, 它存在很多漏洞,而且它的开发人员仍在修补它的代码,所以以后我们可能还会听到与Satana有关的消息。

Petya 在3月份出现,而在一个月后,安全研究人员就发现了一种恢复锁定文件的方法,解除了这一威胁。

又过了一个月后,也就是 5月份,骗子转而将Petya与另一个名为Mischa的勒索软件捆绑在一起进行传播。锁定文件是勒索软件的一贯把戏,正如Petya主要用来锁定MBR。而Satana似乎是之前的勒索软件的一个进化版本。