У травні 2016 зловмисники почали поширювати вимагача Petya «в комплекті» з Mischa , Другим шифрувальником. Якщо перша малваре проникає в Master Boot Record (MBR) і перешкоджає завантаженні ОС, то другий шкідливий діє за класичною схемою і просто шифрує дані, використовуючи алгоритм AES. експерти виявили , Що дана ідея продовжує розвиватися і знайшла втілення в новому здирників Satana.
Satana є сумішшю звичайного вимагача і механізмів роботи Petya. Вимагач шифрує файли жертви і видаляє тіньові копії, як це роблять інші шкідливий такого роду, і до кожного файлу зловмисники додають свій email-адреса, тобто розширення файлів змінюється на «email-адреса ____ імяфайла.расшіреніе». Також Satana шифрує MBR користувача і замінює власною версією. При спробі включити заражений комп'ютер, жертва побачить не свою операційну систему, а повідомлення з вимогою викупу (див. Ілюстрацію вище).
Дослідник Malwarebytes, відомий під псевдонімом hasherezade, пише, що, схоже, знайшов спосіб розшифрувати і відновити оригінальний MBR, однак це не допоможе врятувати інші дані. Шкідливий використовує потужний алгоритм шифрування, який поки не вдалося зламати. При цьому платити зловмисникам викуп, дослідник все одно не радить:
«Навіть якщо жертви заплатили викуп, але вони або керуючий сервер зловмисників перебували в офлайні, в момент здійснення шифрування, оплата не допоможе», - пише hasherezade.
Дослідник вважає, що ключ шифрування зберігається виключно на сервері зловмисників. І хоча шифрування може бути здійснено без підключення до інтернету, ключ в такому випадку буде втрачено.
Також в звіті Malwarebytes сказано, що Satana явно перебуває в стадії розробки, так як код шкідливий поки рясніє багами, наприклад, експерти помітили помилку в роботі генератора біткоіни-гаманців. На думку дослідників, Satana продовжить розвиватися, і про це шифрувальником ми ще почуємо не раз.
Докладний розбір зловреда доступний в блозі Malwarebytes .
