Нова зловредна програма под името Satana кодира данните в компютъра и иска откуп от жертвите, за да възстанови достъпа, алармира компанията за сигурност Malwarebytes.
Прониквайки в компютъра, вирусът шифрира файловете с определени разширения, вкл. .bak, .doc, .jpg, .txt, .db, .xls, .pdf, .mdb, .mdf, .rar, .zip, .7z и др. При рестартиране на РС-то, вирусът шифрира и главния зареждащ запис MBR (Master Boot Record), като добавя и собствен код.
MBR съдържа информация, необходима за последващото зареждане на операционната система. В частност, записът определя от кой точно дял да се зареди системата. След намесата на Satana, компютърът престава да се зарежда.
Потребителят на инфектирания РС вижда съобщение, което му предлага да плати откуп в размер на половин биткойн, или око 340 долара по сегашния курс на виртуалната валута. Кибер престъпниците обещават да възстановят работоспособността на системата, след като получат парите.
Засега няма начин достъпът до кодираните от Satana данни да бъде възстановен, като се заобиколят изискванията на атакуващите, отбелязват експертите по сигурност. Новият вирус от типа „ransomware” работи подобно на два широко известни шифратора – Petya и Mischa.
Известно успокоение е фактът, че вирусът е слабо разпространен в момента, тъй като все още се намира на етап разработка, уточнява блогът на malwarebytes. На негова база обаче могат да се появят доста сложни и опасни шифратори в близко бъдеще.
22 коментара
Много полезен софтуер. Като гледам и чета колко глупави хора има. Направо си го заслужават вируса с криптирането :-)))
Това което съм пропуснал, е че в някои линукс дистрибуции се ползва и библиотеката libgcrypt. Мисля, че тези които пишат вируси могат далеч по-лесно да използват функциите от такива библиотеки, хем вируса става по-компактен и не е необходимо да откриват отново топлата вода! Най-големия бич за масата от потребители на всякакви ОС, миля, е първо невежеството и на второ място – любопитството. Това са основните неща от които се водят тези които пишат вируси.
Тук май само “ха” си и а идея за какво става въпрос. Само проблема със симитричното криптиране би бил, че като се дебъгне вируса и ще хванат начина, по който е криптирано. Все пак е интересно какво представлява кода, кийто искат да изпратиш. Може да е някакъв хеш например. Другият вариант е да се направи едно просто асиметрично криптиране. Не е кой знае каква философия и не трябват никакви ssl библиотеки.
Великата руска страна май официално вече се занимава с крадене. Негласната уговорка е дамо да не крадат от собствените си банки.
Киро, другият вариант е да не използваш компютър. 😀
За съжаление има начин да се разбере, че програмата е пусната на виртуална машина.
Ако се използва за проверка на binary-та, ransomware-a може да не се задейства, като провери, че е изпълнен под виртуална машина.
Но за съжаление има начин да се разбере, че програмата е пусната на виртуална машина: “http://www.codeproject.com/Articles/9823/Detect-if-your-program-is-running-inside-a-Virtual”
Ако се използва за проверка на binary-та, ransomware-a може да не се задейства, като провери, че е изпълнен под виртуална машина.
Много аматьорско е, ако вирусът ползва OpenSSL библиотеката, за да криптира. Най-вероятно криптирането му е заложено в самия код на вируса! Иначе много лесно може да го засече някоя антивирусна програма! А и както споменах вирусът има нужда само от симетрично криптиране.
Потребителите в Linux изобщо не е казано, че трябва да се ползват по отделно. Т. е. може да си работиш с един потребител в текстови редактор и т. н., а друг потребител да използваш само за браузъра. Последният когато сваля приложения ще може да създава от неговия тип. При това да нямаш нужда от никакво превключване!
Например програмката sudo се изоползва, за да можеш да стартираш приложения на администраторския акаунт, когато си се логнал като някакъв потребител.
Това с виртуалните машини е възможно и най-сигурно, но е ужасно тежко. Това с обикновени потребители вероятно е достатъчно сигурно, защото ако не беше досега много пъти ще се споменава (в новинарските сайтове) за подобна дупка в Linux (и вероятно отдавна ще е запушена)!
Torrent client програмите, също няма да е зле да се ползват на виртуалните машини.
Ако се използва виртуална машина за браузване, поща, тестване на разни binary-та, мисля че няма да има опасност от ransomware.
Ами тогава, направи си няколко потребителя в Linux, после изтрий пакета OpenSSL и рестартирай и след това се пробвай да се логнеш в системата. Еми, няма как да стане, като тази библиотека се използва и за криптирането на паролите за потребителите! Успех!
Киро изглежда далеч си от технологиите. Тези OpenSSL и TLS са свързани с криптографски протоколи при комуникацията, при това са от вида на криптосистемите с публичен ключ (по-скоро са комбинация с такава система)! С 100% сигурност не ги използва тях, а си е някакъв “по-обикновен” алгоритъм за симетрично криптиране!
И това не е вярно, как ОС да няма библиотеки за криптиране и да не би да си слагаш Linux без библиотеките OpenSSL, TLS и др.? Или пък според теб влизат в кода на самия вирус?
Чакай малко. Криптирането не е функционалност на операционната система, че да можеш да я изключиш. Това е функционалност, която самият вирус осъществява. На практика той прочита файловете и ги криптира с ключ, който само собственика на вируса знае. След това резултатите го записва обратно върху самите файлове. Край – ако искаш да ги възстановиш, то трябва да си купиш ключа.
Под Linux може да ползваш браузъра си под какъвто искаш уникален потребител, стига да имаш съответния елементарен софтуер за целта. След като стартираш браузъра, той фактически няма да може да чете нищо извън неговите файлове, ако всички останали важни файлове в системата ти нямат правилните привилегии (да не са с разрешение за публичен запис, но това може да се оправи лесно ако са)!
Горното, което описах е положението при Linux. Софтуерът, който осъществява въпросната защита вероятно е от десетилетия (част от ядрото на Linux) и също така много вероятно няма никакви бъгове (защото отдавна са изчистени, ако първоначално ги е имало). При Windows нещата стоят различно, защото ядрото на системата по начало е правено без замисъл за каквито и да е специфични защити – т. е. архитектурата на направата му не е била такава. Винаги могат да се заобиколят новодобавените файлови защити, като се налага на бъгове в ядрото (които ги има в изобилие).
Опасността за Linux системите за които говориш е валидна само за системи, които са конфигуриране по default и браузърът не е защитен подходящо! Всъщност вероятно по-голяма част от Linux дистрибуциите са точно такива без подобен вид защита…
Не, това не е решение, щото излезе и такъв криптиращ вирус, който работи и на Linux. Пак не сте чели някои статии. Що се отнася за правата на потребителя, то важи и за всички останали системи т.е. да не се ползват системите с права на администратор или роот.
Киро това опит за шега ли беше?
Иначе другият начин е да се ползва Linux и браузърът да е в отделен системен потребител, който дори да не може да чете останалите ти важни файлове.
Другият вариант е да си изключите тотално криптографията и така никой вирус не ще може да ви криптира данните, така че на какво основание ще ви иска откуп!
Много полезен и печеливш софтуер. Дори самите антивирусни компании правят и пускат подобрения в този вирус в разпространението на който участват.
Скоро ще има и облачно решение софтуер като услуга, който да “”отвлича”” и криптира и онлайн данните на глупаците. 😛
Правете си редовно бекъпи и не преговаряйте с кибер-терористи! Ако никой не им плати, ще спрат да се занимават с тия глупости…
Това се превръща в най-лесния начин за печелене на пари от хакерите. Очаквам да има все повече подобен род вируси за в бъдеще.