勒索软件家族新成员Satana Bootkit——不仅动文件，还动MBR

230f4

Satana针对的文件类型：

.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm,

中招后，受害者可以通过修复MBR进入系统，但文件已锁。

上一种这么做的勒索软件应该是Petya

压缩包密码infected

cxy密斯

windows7爱好者

这种危险的样本，我裸奔怎么敢双击呢

vm001

windows7爱好者 发表于 2016-7-1 19:39
这种危险的样本，我裸奔怎么敢双击呢

uefi启动+重要文件备份，你放心双击吧

ELOHIM

WD：miss

230f4

windows7爱好者 发表于 2016-7-1 19:39
这种危险的样本，我裸奔怎么敢双击呢

大蜘蛛横扫千军

windows7爱好者

vm001 发表于 2016-7-1 19:43
uefi启动+重要文件备份，你放心双击吧

麻烦，而且无杀软双击毫无意义

ELOHIM

反病毒软件	结果	病毒库日期
大蜘蛛（Dr.Web）	Trojan.MBRlock.253	2016-07-01
腾讯（Tencent）	Win32.Trojan.Crypt.Wofm	2016-07-01
卡巴斯基（Kaspersky）	Trojan-Downloader.Win32.Upatre.fsge	2016-07-01
熊猫（Panda）	Trj/GdSda.A	2016-07-01
AVG	Found Win32/DH{I4FSMQ?}	2016-07-01
Baidu	Malware,Win32.Trojan.WisdomEyes.151026.9950.9997	2016-07-01
360（Qihoo 360）	HEUR/QVM20.1.0000.Malware.Gen	2016-07-01
ESET	a variant of Win32/MBRlock.AO trojan	2016-07-01
Avast	Win32:Evo-gen	2016-07-01
GDATA	Generic.Malware.FH.DCA4200F	2016-07-01
小红伞（Avira）	TR/Crypt.XPACK.Gen	2016-07-01

qqddliu

【1】2016-07-01 20:10:23,系统防护,自定义防护,Satana.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【文件保护】〖风险目录〗可执行程序，不信任请阻止
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\Local Settings\Temp\zatzm.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-07-01 20:10:06,系统防护,自定义防护,Satana.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【注册表保护】〖高危、恶意设置〗服务提升权限
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-07-01 20:10:03,系统防护,自定义防护,Satana.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【注册表保护】〖驱动及服务〗服务相关注册表 安装服务会修改此项
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-07-01 20:10:01,系统防护,自定义防护,Satana.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【注册表保护】〖自启动〗常规启动项
操作类型：创建
操作注册表：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-07-01 20:09:57,系统防护,自定义防护,Satana.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【文件保护】〖风险目录〗防加密勒索
操作类型：写入
操作文件：C:\Documents and Settings\Administrator\Local Settings\Temp\!satana!.txt
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-07-01 20:09:51,系统防护,自定义防护,svchost.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\WINDOWS\system32\svchost.exe
触犯规则：●星火●【文件保护】〖风险目录〗阻止创建系统预读文件
操作类型：创建
操作文件：C:\WINDOWS\Prefetch\SATANA.EXE-2C44FB54.pf
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-07-01 20:09:46,系统防护,自定义防护,Satana.exe触犯自定义文件防护规则, 已忽略

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【文件保护】〖风险目录〗默认的系统临时目录，这个目录的程序可以适当放松限制
操作类型：写入
操作文件：C:\Documents and Settings\Administrator\Local Settings\Temp\!satana!.txt
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2016-07-01 20:09:42,系统防护,自定义防护,Satana.exe触犯自定义文件防护规则, 已忽略

操作进程：C:\Documents and Settings\Administrator\桌面\Satana.exe
触犯规则：●星火●【文件保护】〖风险目录〗默认的系统临时目录，这个目录的程序可以适当放松限制
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\Local Settings\Temp\!satana!.txt
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
重启系统正常，未被加密。

hup

解压就报