Selon les chercheurs de l’entreprise de sécurité Malwarebytes, le programme surnommé Satana - « Satan » en italien et en roumain - est fonctionnel, mais toujours en développement. Satana est le second ransomware affectant le MBR. Il semble inspiré par un autre programme appelé Petya, qui a fait son apparition en mars. Le code MBR, stocké dans les premiers secteurs du disque dur, contient des informations sur les partitions du disque et lance le chargeur d’amorçage (le bootloader) du système d'exploitation. Mais, sans MBR valide, l’ordinateur ne peut pas savoir sur quelle partition se trouve le système d'exploitation et comment le démarrer.

Il existe des différences significatives entre Satana et Petya. Par exemple, Petya remplace le MBR et lance un bootloader personnalisé qui crypte la table de fichiers maître du système ou Master File Table (MFT), un dossier spécial présent sur les partitions NTFS qui contient des informations sur tous les autres fichiers, comme les noms, les tailles et leur emplacement sur les secteurs du disque dur. Satana ne chiffre pas la table MFT. Il remplace simplement le MBR avec son propre code et stocke une version cryptée du MBR original afin de la restaurer ultérieurement si la victime paie la rançon demandée. L'ordinateur ne peut plus démarrer, mais la restauration est plus facile que dans le cas où le MFT est également crypté.

Une rançon de 340$

En mai, Petya a été associé à un autre ransomware du nom de Mischa, dont la procédure d’attaque est plus traditionnelle : ce dernier crypte d’emblée les fichiers personnels des utilisateurs s’il ne parvient pas à obtenir les privilèges d'administrateur pour attaquer le MBR et le MFT. Satana exécute lui-même ces deux opérations, c’est-à-dire qu’il réalise à la fois le chiffrement classique des fichiers et le cryptage du MBR. Il commence par crypter les fichiers de l’utilisateur avec des extensions spécifiques, puis attend patiemment le premier redémarrage pour remplacer le MBR. L'utilisateur voit alors apparaître sur l’écran un message lui demandant le paiement d’une rançon de 0,5 Bitcoin (environ 340 dollars US).

Cette technique complique la restauration du système par les utilisateurs non avertis, car il les oblige à utiliser un autre ordinateur pour effectuer le paiement, étant donné que l'ordinateur affecté ne peut plus démarrer sous Windows. « Malheureusement, pour l’instant, il n’existe aucun moyen de décrypter gratuitement les fichiers cryptés par Satana », a déclaré dans un blog Lawrence Abrams, fondateur du forum de support technique BleepingComputer.com.

Réparation possible  

Les utilisateurs peuvent éventuellement réparer le MBR en utilisant les options de récupération de Windows, mais cela nécessite de travailler avec la ligne de commande Windows et le bootrec.exe (l’outil de récupération d'amorçage), des opérations qui ne sont pas à la portée de l’utilisateur moyen. La version actuelle de Satana n'a pas encore été largement diffusée, et les chercheurs ne pensent pas que ce sera bientôt le cas parce que, selon eux, le code n’est pas encore assez mature et comporte encore des failles. Cependant, cette version de base pourrait servir à améliorer les futures éditions.