• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Satana Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
6,997
Баллы
803
<!SATANA!>

Новый криптовымогатель Satana ведёт себя не совсем традиционным для вымогателей образом. Во-первых, он изменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и вымогательским текстом.

После перезагрузки ПК пользователи уже не смогут получить доступ к Рабочему столу, т.к. им будет отображаться вымогательский кроваво-красный текст, который по замыслу вымогателей должен напугать жертву и принудить её поскорее выплатить выкуп в 0,5 BTC.


boot_screen.png


Имеется и текстовая записка о выкупе. См. скриншот ниже.
satana-textfile.jpg

Во-вторых, к имени зашифрованных файлов SATANA приставляет компонент [email_name] в следующем формате: [email protected]_[original file name].

Кто такая мадам Грицакова? Участвует ли она в процессе вымогания или фамилия вписана в адрес для запутывания? Пока неизвестно. :)

 
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
6,997
Баллы
803
В свете новых исследований добавились новые сведения о Satana Ransomware.

К ранее выявленным целевым расширениям добавилось еще 10 и теперь этот список включается в себя по моим подсчетам 114 расширений:
.1cd .3ds .3gp .7z .acc .apk .asm .avi .bak .bmp .c .cal .casb .ccp .cdr .cer .chm .ckp .cmx .conf .cpp .cr2 .cry .cs .css .csv .dacpac .dat .db .db3 .dbf .dbx .dcx .dgn .djvu .doc .docm .docx .dwg .dxf .epub .fb2 .flv .gbr .gho .gif .gz .iso .ibooks .java .jpe .jpeg .jpg .js .key .ma .mdb .md2 .mdf .mht .mobi .mhtm .mkv .mov .mp3 .mp4 .mpg .mpeg .mrg .ods .odt .pas .pdb .php .pict .pdf .pkg .png .pps .ppsx .ppt .pptx .psd .psp .py .rar .rb .rbw .rtf .sav .scr .sdf .sql .sqlite .sqlite3 .sqlitedb .stl .swf .tax .tex .tiff .tif .tbl .torrent .txt .v2i .vpd .vsd .wmv .xls .xlsx .xps .xml .zip

Сами вымогатели засветили еще 6 своих email-адресов:
[email protected], [email protected], [email protected], [email protected], [email protected], [email protected] и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются таргетированные рассылки по странам и регионам.
 
Сверху Снизу