如果你的电脑开不了机，很有可能是这个原因

蓝天二号

在公司受了一天气的陈波，拖着疲惫的身躯垂头丧气地回到他租住的20平米的小屋里，随手把背包扔到床上，陈波一边咒骂着：“这种受气不讨好的活以后绝对谁爱干谁干，老子绝对不干了”，一边弯下腰用手按下脚边机箱的开机键。显示器屏幕一直还没亮，陈波懊恼地踢了机箱几脚，就在他要检查是不是显示器接口出问题的时候。显示器屏幕上浮出一句话“想要启动计算机系统，请加微信XXXXXXX”。





不要以为这只是一个故事。就在最近，研究人员又发现了另一种复杂的勒索软件样本。该恶意软件被称为Satana （“Satan”），似乎又和讲俄语的犯罪分子有关。该木马病毒主要有两种功能：加密文件并破坏Windows的主引到记录（MBR），以及阻止Windows系统的启动过程。在某种程度上，Satana的行为与Petya十分相似，例如：将其代码植入MBR内。但区别在于，Petya加密的是主文件表（MFT），而Satana加密的是MBR。此外，为了加密PC电脑文件，Petya还需依赖其“好伙伴”——Mischa木马病毒；而Satana则独立完成所有任务。



MBR是硬盘的一部分，含有关各磁盘分区所用文件系统以及存储操作系统分区的信息。一旦MBR遭破坏或被加密，计算机就无法访问关键的信息部分：即含操作系统的部分。如果计算机无法找到操作系统，也就没办法启动。而Satana勒索软件正是利用了这一设置，为其cryptolocker强化各项bootlocker功能。网络黑客通过将MBR换成“勒索信”代码，对MBR进行加密并移至其他位置。

计算机一旦被感染，该勒索软件就会要求受害人支付约0.5个比特币（约合340美元）的赎金，才能解密MBR并提供解密被加密文件的密钥。据Satana的作者称，只要支付了赎金，就会恢复用户访问操作系统的权限，并解密所有文件，且看上去与原先毫无差别。

Satana成功潜入系统，就会扫描全部硬盘和网盘，搜寻所有后缀 是.bak、.doc、.jpg、.jpe、.txt、.tex、.dbf、.db、.xls、.cry、.xml、.vsd、.pdf、.csv、.bmp、.tif、.1cd、.tax、.gif、.gbr、.png、.mdb、.mdf、.sdf、.dwg、.dxf、.dgn、.stl、.gho、.v2i、.3ds、.ma、.ppt、.acc、.vpd、.odt、.ods、.rar、.zip、.7z、.cpp、.pas 以及.asm的文件，并开始加密。此外，还会在文件名开头添加邮箱地址和3条下划线（例如：test.jpg就变成了 Sarah_G@ausi.com___test.jpg）。

添加邮箱地址的目的是告知受害人自己的联系方式，只有发信至这一地址才能得到支付指令，付款后即可得到解密密钥。迄今为止，研究人员已发现了6个邮箱地址。

目前，Satana勒索软件的破坏活动似乎才刚刚开始：其传播范围依然有限，而研究人员们已经发现了代码中的一些漏洞。但随着时间的过去，Satana一定会不断改进，最终演变成一个“庞然大物”。

KK院长

嗯，什么都应该知道一点。