Шифровальщик Thanos пытается перезаписывать MBR

[ve1]

Специалисты Palo Alto Networks заметили, что шифровальщик Thanos обзавелся новой функциональностью и пытается вносить изменения в MBR (Master Boot Record) на зараженных машинах, чтобы воспрепятствовать нормальному запуску системы.

В частности такое поведение вредоноса было зафиксировано в июле 2020 года, во время двух атак на госучреждения на Ближнем Востоке и Северной Африке. К счастью, авторы малвари допустили ошибку в коде, и MBR пострадавших систем остается целым.

«Перезапись MBR — это более деструктивный подход к вымогательским атакам. Жертвам придется приложить больше усилий, чтобы восстановить свои файлы, даже если они заплатят выкуп. К счастью, в данном случае код, отвечающий за перезапись MBR, не срабатывал, так как сообщение с требованием выкупа [которое должно выводиться на экране блокировки] содержало недопустимые символы», — рассказывают аналитики Palo Alto Networks.

Хотя перезаписать MBR малвари не удалось, во время упомянутых атак операторы Thanos создали на зараженных машинах обычные текстовые файлы HOW_TO_DECIPHER_FILES.txt и потребовали у своих жертв 20 000 долларов за восстановление данных. При этом у экспертов нет информации о том, согласились ли пострадавшие на уплату выкупов.

Вымогательское послание Thanos​

Исследователи полагают, что злоумышленники проникли в целевые сети задолго до развертывания пейлоадов вымогателя, так как в образцах, восстановленных после атаки, удалось обнаружить действительные учетные данные.

Thanos представляет собой RaaS (Ransomware-as-a-Service), который активно рекламируется на русскоязычных хакерских форумах с февраля 2020 года. Некоторые образцы Thanos также фигурировали в отчетах экспертов под названием Hakbit (из-за различных расширений, который шифровальщик оставляет после себя), но исследователи из Recorded Future пишут, что это была одна и та же малварь.

Схема атаки вымогателя ​

​

Источник: xakep.ru/2020/09/07/thanos/

 

[orlandocartwright]

Will it encrypt the MFT in the MBR like petya?

 

[exploit-Satan]

Will it encrypt the MFT in the MBR like petya?

It just replaces the displayed characters in MBR, it can't do encrypted MFT like petya

 

[Kapibara]

они шо, с 2008 года в заморозке? где сейчас этот мбр, разве что в Африке. Везде GPT

 

[spartanking]

encrypting MBR is not in the benefits of those who want to get payed

 

[yellow]

они шо, с 2008 года в заморозке? где сейчас этот мбр, разве что в Африке. Везде GPT

в сетях вообщето частенько вин7\2008 попадается и там MBR, бывает даве и венда ХР.
Но если есть мбр - то не значит чот имеет смысл ее тереть, какая то хрень, как они потом записку прочтут если у них машина в ауте? короче ересь по-на-кодиле