Satana - mã độc tống tiền chặn người dùng từ khi khởi động máy

Satana - mã độc tống tiền chặn người dùng từ khi khởi động máy
Tạp chí Nhịp sống số - Mã độc tống tiền (ransomware) này được đặt tên là Satana, nghĩa là quỷ Satan trong tiếng Ý và Romani. Đáng nói là, nó mã hóa dữ liệu của người dùng lẫn bản ghi khởi động (master boot record - MBR) cho các máy tính hệ điều hành Windows, khiến cho người dùng không thể tải hệ điều hành.

Theo ComputerWorld, các tin tặc đang phát triển một loại mã độc tống tiền (ransomware) với mục đích để tống tiền bằng cách mã hóa dữ liệu của người dùng lẫn bản ghi khởi động (master boot record - MBR) cho các máy tính hệ điều hành Windows.

Satana là ransomware thứ hai có khả năng đe dọa MBR và dường như được khởi nguồn từ một mã độc khác, Peyta, xuất hiện từ tháng 3 năm nay. Mã MBR được chứa trong các sectors đầu tiên của ổ cứng, bao gồm các thông tin về phân vùng đĩa và dùng để chạy bootloader. Nếu MBR bị trục trặc, máy sẽ không biết phân vùng nào chứa hệ điều hành và sẽ không thể khởi động máy.

Có rất nhiều điểm khác biệt giữa Petya và Satana. Điển hình là Peyta thay thế MBR  để có thể chạy một bootloader khác và sau đó mã hóa bảng mã chính của hệ thống (Master file table-MFT) – một tệp đặc biệt trong phân vùng NTFS chứa các thông tin về các tệp như tên, kích thước và phân bố trong các sector của đĩa cứng.

Satana thì không mã hóa MFT như Peyta, mà chỉ thay thế MBR với mã của chính nó và lưu trữ một phiên bản mã hóa của bản ghi khởi động gốc để nó có thể hồi phục lại sau này nếu nạn nhân trả tiền chuộc. Santana khiến máy tính không thể khởi động, nhưng có thể được khắc phục dễ dàng hơn Phương pháp mã hóa MFT.

Vào tháng 5 vừa qua, Peyta kết hợp với Mischa, một mã độc cùng mục đích khác, nhưng lại có cơ chế cũ hơn: nó trực tiếp mã hóa dữ liệu của người dùng nếu nó không thể tấn công được MBR và MFT.

Satana cũng mã hóa dữ liệu và MBR như trên nhưng tất cả đều nằm trong một . Đầu tiên nó mã hóa các file của người dùng với các đuôi nhất định và sau đó chờ đến khi máy khởi động lại rồi thay thế MBR. Sau đó, nạn nhân sẽ thấy một màn hình tống tiền yêu cầu 0.5 bitcoin (khoảng $340).

Điều này làm cho việc phục hồi hệ thống trở nên khó khăn đối với người dùng thông thường vì nó bắt họ phải trả tiền qua một máy tính khác, bởi máy hiện tại không thể khởi động Windows.

Người dùng có thể sửa lại MBR bằng cách lựa chọn hồi phục Windows (Windows recovery), nhưng việc này đòi hỏi người dùng phải sử dụng các dòng lệnh trong Windows và công cụ bootrec.exe, và thực tế là không phải người dùng phổ thông nào cũng có thể làm như vậy.

 

Có thể bạn quan tâm