Les cybercriminels ont de la suite dans les idées et s'inspirent de l'existant pour faire évoluer leurs menaces. C'est aussi le cas avec les ransomwares et en l'occurrence le malware Satana qui est en cours de développement. Il est possible de voir en Satana une évolution de Mischa et Petya.

Satana remplit l'office habituel d'un ransomware - tel que Mischa - en chiffrant les fichiers de sa victime mais il a aussi pris de Petya en s'attaquant au Master Boot Record du disque dur pour empêcher le chargement de Windows après redémarrage. Étrange hasard, Kaspersky Lab avait constaté au mois de mai une sorte de collaboration entre Mischa et Petya.

Satana est le deuxième ransomware à s'attaquer au MBR mais avec cependant une action différente par rapport à Petya qui chiffre la Master File Table sur les partitions NTFS de Windows. Computerworld explique qu'il remplace le MBR avec son propre code et stocke une version chiffrée de l'original pour permettre une restauration si la victime paie une rançon.

Malwarebytes a observé que Satana exploite ses deux capacités de nuisance ensemble, soit l'une après l'autre pour infecter un système. Une méthode de nuisance n'est pas une alternative à l'autre. L'éventuelle récupération d'un MBR sain ne sauvera ainsi pas la mise d'une victime.

Satana-boot-screen
L'échantillon analysé par Malwarebytes était encore à l'état expérimental et contenait des failles. Une large diffusion de Satana semble improbable à ce stade mais il brosse le possible portrait de la prochaine évolution pour les ransomwares.