Novi ransomware Satan se sajber kriminalcima nudi kao servis

Opisi virusa, 25.01.2017, 01:00 AM

Novi ransomware Satan se sajber kriminalcima nudi kao servis

Istraživač Xylitol otkrio je novi ransomware kao uslugu (Ransomware as a Service, RaaS) nazvan Satan koji omogućava kriminalcima i onima koji bi to da budu da registruju nalog i naprave sopstvenu verziju ransomwarea Satan.

Kada naprave svoju verziju ransomwarea, na kriminalcima je da odluče kako će ga širiti, dok će se RaaS starati o plaćanju otkupnine i dodavanju novih funkcija. Za ovu uslugu, autor RaaS Satan uzima 30% svake plaćene otkupnine.

Prema uslovima koji su navedeni u oglasu, autor Satan RaaS će smanjiti svoj udeo u zavisnosti od to koliko je otkupnina plaćeno partneru koji distribuira ransomware.

Kada potencijalni korisnik poseti sajt RaaS Satan dočekaće ga početna stranica koja opisuje ovu uslugu i kako zaraditi novac od ovog ransomwarea.

Kada korisnik registruje nalog i prijavi se, videće konzolu za saradnike koja sadrži različite stranice koje korisniku mogu pomoći u distribuciji ransomwarea. Nazivi stranica su Malwares, Droppers, Translate, Account, Notices i Messages.

Prva strana se prikazuje kada se neko prijavi na Malwares stranici, koja omogućava kriminalcima da konfigurišu različita podešavanja njihove verzije ransomwarea Satan. Međutim, u pogledu prilagođavanja, nema mnogo opcija. Korisnik može da odredi iznos otkupnine, kolika ona treba da bude posle nekoliko dana, i posle koliko dana može biti povećana.

Na stranici Droppers nalazi se kod koji pomaže partneru da kreira maliciozne Microsoft Word makroe ili CHM instalerie. Njih partner može koristiti za distribuciju ransomwarea pomoću spama ili na druge načine.

Stranica Translate omogućava partnerima da obaveštenja o otkupnini prevedu na druge jezike.

Na stranici Account partneri mogu videti broj inficiranih računara, plaćenih otkupnina i druge informacije.

Stranica Notices prikazuje poruke programera ransomwarea, a stranica Messages je za zahteve korisnika servisa.

Kada se Satan instalira, on proverava da li je pokrenut u virtualnom okruženju, i ako je tako, on će prestati da radi. Kada se pokrene, ransomware se ubacuje u TaskHost.exe i počinje da šifruje podatke na računaru. Ne zna se kakvu enkripciju Satan koristi. Broj ekstenzija koje cilja malver je veliki.

Fajlu koji šifruje, ransomware dodaje ekstenziju .stn i skrembluje naziv fajla, pa će fajl test.jpg posle šifrovanja biti ahasd.stn. Dok kriptuje fajlove, Satan kreira i obaveštenje o otkupnini pod nazivom HELP_DECRYPT_FILES.html koje se nalazi u svakom folderu u kome ima šifrovanih fajlova.

Kada završi sa enkripcijom, Satan izvršava komandu za brisanje svih podataka sa nekorišćenog prostora na C: Drive.

Na kraju, Satan prikazuje poruku o otkupnini koja sadrži jedinstveni ID žrtve i URL-ove za TOR sajt za plaćanje otkupnine. Kada žrtva klikne na jedan od linkova dospeće na sajt gde je čekaju instrukcije za plaćanje.

Na žalost, za sada nema načina da se fajlovi besplatno dešifruju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Destruktivni malver napravio probleme organizatorima Olimpijskih igara u Pjongčangu

Krivac za tehničke probleme koji su se dogodili za vreme ceremonije otvaranja Olimpijskih igara u Pjongčangu je jedan destruktivni malver zbog koga ... Dalje

Kripto-majner malver za Mac širio se sa sajtova za preuzimanje softvera

Kripto-majner malver za Mac širio se sa sajtova za preuzimanje softvera

Nevidljivi majneri za kopanje kriptovaluta obično su problem korisnika Windowsa, ali niko nije bezbedan, ni korisnici Linuxa, ni korisnici Mac račun... Dalje

Autori bankarskog trojanca Dridex stvorili novi malver, ransomware FriedEx

Autori bankarskog trojanca Dridex stvorili novi malver, ransomware FriedEx

Izgleda da su autori zloglasnog bankarskog trojanca Dridex i Necurs spam botneta stvorili još jedan malver, ransomware nazvan FriedEx, objavila je ko... Dalje

Posle inicijalnog šifrovanja računara, ransomware Rapid šifruje svaki novonastali fajl

Posle inicijalnog šifrovanja računara, ransomware Rapid šifruje svaki novonastali fajl

Pojavio se novi ransomware koji je nazvan Rapid Ransomware i koji ostaje aktivan i nakon što šifruje fajlove da bi šifrovao sve novokreirane fajlov... Dalje

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažir... Dalje