Satana Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 28 июн 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    <!SATANA!>

    Новый криптовымогатель Satana ведёт себя не совсем традиционным для вымогателей образом. Во-первых, он изменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и вымогательским текстом.

    После перезагрузки ПК пользователи уже не смогут получить доступ к Рабочему столу, т.к. им будет отображаться вымогательский кроваво-красный текст, который по замыслу вымогателей должен напугать жертву и принудить её поскорее выплатить выкуп в 0,5 BTC.


    boot_screen.png

    Имеется и текстовая записка о выкупе. См. скриншот ниже.
    satana-textfile.jpg

    Во-вторых, к имени зашифрованных файлов SATANA приставляет компонент [email_name] в следующем формате: Gricakova@techemail.com_[original file name].

    Кто такая мадам Грицакова? Участвует ли она в процессе вымогания или фамилия вписана в адрес для запутывания? Пока неизвестно. :)

     
    Последнее редактирование модератором: 26 июл 2016
    Охотник и Kиpилл нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    В свете новых исследований добавились новые сведения о Satana Ransomware.

    К ранее выявленным целевым расширениям добавилось еще 10 и теперь этот список включается в себя по моим подсчетам 114 расширений:
    .1cd .3ds .3gp .7z .acc .apk .asm .avi .bak .bmp .c .cal .casb .ccp .cdr .cer .chm .ckp .cmx .conf .cpp .cr2 .cry .cs .css .csv .dacpac .dat .db .db3 .dbf .dbx .dcx .dgn .djvu .doc .docm .docx .dwg .dxf .epub .fb2 .flv .gbr .gho .gif .gz .iso .ibooks .java .jpe .jpeg .jpg .js .key .ma .mdb .md2 .mdf .mht .mobi .mhtm .mkv .mov .mp3 .mp4 .mpg .mpeg .mrg .ods .odt .pas .pdb .php .pict .pdf .pkg .png .pps .ppsx .ppt .pptx .psd .psp .py .rar .rb .rbw .rtf .sav .scr .sdf .sql .sqlite .sqlite3 .sqlitedb .stl .swf .tax .tex .tiff .tif .tbl .torrent .txt .v2i .vpd .vsd .wmv .xls .xlsx .xps .xml .zip

    Сами вымогатели засветили еще 6 своих email-адресов:
    Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

    Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются таргетированные рассылки по странам и регионам.
     
    Kиpилл, Охотник и thyrex нравится это.

Поделиться этой страницей