Novi ransomware Satan se sajber kriminalcima nudi kao servis

Opisi virusa, 25.01.2017, 01:00 AM

Novi ransomware Satan se sajber kriminalcima nudi kao servis

Istraživač Xylitol otkrio je novi ransomware kao uslugu (Ransomware as a Service, RaaS) nazvan Satan koji omogućava kriminalcima i onima koji bi to da budu da registruju nalog i naprave sopstvenu verziju ransomwarea Satan.

Kada naprave svoju verziju ransomwarea, na kriminalcima je da odluče kako će ga širiti, dok će se RaaS starati o plaćanju otkupnine i dodavanju novih funkcija. Za ovu uslugu, autor RaaS Satan uzima 30% svake plaćene otkupnine.

Prema uslovima koji su navedeni u oglasu, autor Satan RaaS će smanjiti svoj udeo u zavisnosti od to koliko je otkupnina plaćeno partneru koji distribuira ransomware.

Kada potencijalni korisnik poseti sajt RaaS Satan dočekaće ga početna stranica koja opisuje ovu uslugu i kako zaraditi novac od ovog ransomwarea.

Kada korisnik registruje nalog i prijavi se, videće konzolu za saradnike koja sadrži različite stranice koje korisniku mogu pomoći u distribuciji ransomwarea. Nazivi stranica su Malwares, Droppers, Translate, Account, Notices i Messages.

Prva strana se prikazuje kada se neko prijavi na Malwares stranici, koja omogućava kriminalcima da konfigurišu različita podešavanja njihove verzije ransomwarea Satan. Međutim, u pogledu prilagođavanja, nema mnogo opcija. Korisnik može da odredi iznos otkupnine, kolika ona treba da bude posle nekoliko dana, i posle koliko dana može biti povećana.

Na stranici Droppers nalazi se kod koji pomaže partneru da kreira maliciozne Microsoft Word makroe ili CHM instalerie. Njih partner može koristiti za distribuciju ransomwarea pomoću spama ili na druge načine.

Stranica Translate omogućava partnerima da obaveštenja o otkupnini prevedu na druge jezike.

Na stranici Account partneri mogu videti broj inficiranih računara, plaćenih otkupnina i druge informacije.

Stranica Notices prikazuje poruke programera ransomwarea, a stranica Messages je za zahteve korisnika servisa.

Kada se Satan instalira, on proverava da li je pokrenut u virtualnom okruženju, i ako je tako, on će prestati da radi. Kada se pokrene, ransomware se ubacuje u TaskHost.exe i počinje da šifruje podatke na računaru. Ne zna se kakvu enkripciju Satan koristi. Broj ekstenzija koje cilja malver je veliki.

Fajlu koji šifruje, ransomware dodaje ekstenziju .stn i skrembluje naziv fajla, pa će fajl test.jpg posle šifrovanja biti ahasd.stn. Dok kriptuje fajlove, Satan kreira i obaveštenje o otkupnini pod nazivom HELP_DECRYPT_FILES.html koje se nalazi u svakom folderu u kome ima šifrovanih fajlova.

Kada završi sa enkripcijom, Satan izvršava komandu za brisanje svih podataka sa nekorišćenog prostora na C: Drive.

Na kraju, Satan prikazuje poruku o otkupnini koja sadrži jedinstveni ID žrtve i URL-ove za TOR sajt za plaćanje otkupnine. Kada žrtva klikne na jedan od linkova dospeće na sajt gde je čekaju instrukcije za plaćanje.

Na žalost, za sada nema načina da se fajlovi besplatno dešifruju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Malver Shamoon se vratio. Za one koji prvi put čuju za Shamoon, reč je o jednom od najdestruktivnijih malvera koji je 2012. napravio haos u kompanij... Dalje

Novi sajber špijun, backdoor GreyEnergy

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) gr... Dalje

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje