Satana Ransomware: Описание и вариации

SNS-amigo

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,131
Баллы
793
<!SATANA!>

Новый криптовымогатель Satana ведёт себя не совсем традиционным для вымогателей образом. Во-первых, он изменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и вымогательским текстом.

После перезагрузки ПК пользователи уже не смогут получить доступ к Рабочему столу, т.к. им будет отображаться вымогательский кроваво-красный текст, который по замыслу вымогателей должен напугать жертву и принудить её поскорее выплатить выкуп в 0,5 BTC.


boot_screen.png

Имеется и текстовая записка о выкупе. См. скриншот ниже.
satana-textfile.jpg

Во-вторых, к имени зашифрованных файлов SATANA приставляет компонент [email_name] в следующем формате: Gricakova@techemail.com_[original file name].

Кто такая мадам Грицакова? Участвует ли она в процессе вымогания или фамилия вписана в адрес для запутывания? Пока неизвестно. :)

 
Последнее редактирование модератором:
SNS-amigo

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,131
Баллы
793
В свете новых исследований добавились новые сведения о Satana Ransomware.

К ранее выявленным целевым расширениям добавилось еще 10 и теперь этот список включается в себя по моим подсчетам 114 расширений:
.1cd .3ds .3gp .7z .acc .apk .asm .avi .bak .bmp .c .cal .casb .ccp .cdr .cer .chm .ckp .cmx .conf .cpp .cr2 .cry .cs .css .csv .dacpac .dat .db .db3 .dbf .dbx .dcx .dgn .djvu .doc .docm .docx .dwg .dxf .epub .fb2 .flv .gbr .gho .gif .gz .iso .ibooks .java .jpe .jpeg .jpg .js .key .ma .mdb .md2 .mdf .mht .mobi .mhtm .mkv .mov .mp3 .mp4 .mpg .mpeg .mrg .ods .odt .pas .pdb .php .pict .pdf .pkg .png .pps .ppsx .ppt .pptx .psd .psp .py .rar .rb .rbw .rtf .sav .scr .sdf .sql .sqlite .sqlite3 .sqlitedb .stl .swf .tax .tex .tiff .tif .tbl .torrent .txt .v2i .vpd .vsd .wmv .xls .xlsx .xps .xml .zip

Сами вымогатели засветили еще 6 своих email-адресов:
Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются таргетированные рассылки по странам и регионам.
 
Сверху Снизу