Mã độc tống tiền Satana "kiểm soát" máy tính ngay từ khi khởi động

Đây là mã độc tống tiền thứ hai có khả năng ngăn không cho máy tính boot vào hệ điều hành.

Theo ComputerWorld, các tin tặc đang phát triển một loại mã dộc với mục đích để tống tiền bằng cách mã hóa dữ liệu của người dùng lẫn bản ghi khởi động (master boot record -MBR) cho các máy tính hệ điều hành Windows, khiến cho người dùng không thể tải hệ điều hành.

Mã độc tống tiền (ransomware) lần này được đặt tên là Satana, nghĩa là quỷ Satan trong tiếng Ý và Romani. Theo các nhà nghiên cứu từ hãng bảo mật Malwarebytes, nó về cơ bản đã hoạt động nhưng vẫn chưa hoàn chỉnh.

Satana là mã độc tống tiền thứ hai có khả năng đe dọa MBR và dường như được khởi nguồn từ một mã độc khác, Peyta, xuất hiện từ tháng 3 năm nay.

Theo đó, mã MBR được chứa trong các sectors đầu tiên của ổ cứng, bao gồm các thông tin về phân vùng đĩa và dùng để chạy bootloader. Nếu MBR bị trục trặc, máy sẽ không biết phân vùng nào chứa hệ điều hành và sẽ không thể khởi động máy.

Có rất nhiều điểm khác biệt giữa Petya và Satana. Điển hình là Peyta thay thế MBR; để có thể chạy một bootloader khác và sau đó mã hóa bảng mã chính của hệ thống (Master file table-MFT) – một tệp đặc biệt trong phân vùng NTFS chứa các thông tin về các tệp như tên, kích thước và phân bố trong các sector của đĩa cứng.

Satana thì không mã hóa MFT như Peyta, mà chỉ thay thế MBR với mã của chính nó và lưu trữ một phiên bản mã hóa của bản ghi khởi động gốc để nó có thể hồi phục lại sau này nếu nạn nhân trả tiền chuộc. Santana khiến máy tính không thể khởi động, nhưng có thể được khắc phục dễ dàng hơn Phương pháp mã hóa MFT.

Vào tháng 5 vừa qua, Peyta kết hợp với Mischa, một mã độc cùng mục đích khác, nhưng lại có cơ chế cũ hơn: nó trực tiếp mã hóa dữ liệu của người dùng nếu nó không thể tấn công được MBR và MFT.

Satana cũng mã hóa dữ liệu và MBR như trên nhưng tất cả đều nằm trong một . Đầu tiên nó mã hóa các file của người dùng với các đuôi nhất định và sau đó chờ đến khi máy khởi động lại rồi thay thế MBR. Sau đó, nạn nhân sẽ thấy một màn hình tống tiền yêu cầu 0.5 bitcoin (khoảng $340).

Điều này làm cho việc phục hồi hệ thống trở nên khó khăn đối với người dùng thông thường vì nó bắt họ phải trả tiền qua một máy tính khác, bởi máy hiện tại không thể khởi động Windows. Ông Lawrence Abrams, người sáng lập diễn đàn hỗ trợ kĩ thuật BleepingComputers.com cho hay: "Thật không may, hiện tại chưa có cách nào giải mã các file Satana mà không bị tốn kém."

Người dùng có thể sửa lại MBR bằng cách lựa chọn hồi phục Windows (Windows recovery), nhưng việc này đòi hỏi người dùng phải sử dụng các dòng lệnh trong Windows và công cụ bootrec.exe, và thực tế là không phải người dùng phổ thông nào cũng có thể làm như vậy.

Phiên bản hiện tại của Satana vẫn chưa được tung ra, nhưng những nhà nghiên cứu dự đoán sẽ còn rất lâu nữa vì mã nguồn của nó còn chưa được phát triển hoàn thiện. Dù sao đi chăng nữa, họ tin rằng phiên bản hiện tại có thể sẽ là nền tảng cho các phiên bản sắp tới của nó.

Nguyễn Phương Nam