Если вы не видите здесь изображений, то используйте VPN.

вторник, 28 июня 2016 г.

Satana

Satana Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Выкуп должен быть уплачен в течение 7 дней, иначе по истечении недели дешифровка станет невозможной. 

Обнаружения:
DrWeb -> Trojan.MBRlock.253 + Trojan.MBRlock.19
BitDefender -> Trojan.Ransom.Satan.A, Trojan.Generic.17389935
ESET-NOD32 -> Win32/MBRlock.AO, A Variant Of Win32/MBRlock.AO
Kaspersky -> Trojan-Ransom.Win32.Satan.f, Trojan-Ransom.Win32.Satan.g + Trojan-Ransom.Boot.Siob.a
Malwarebytes -> Ransom.CryptoLocker, Ransom.Satana
TrendMicro -> Ransom_SATANA.A, Ransom_SATANA.B, Ransom_SATANA.D
Symantec -> Trojan.Gen.2, Ransom.Cerber

© Генеалогия: Satana Ransomware >> CoronaVirus Ransomware

   Во время шифрования SATANA изменяет имя каждого зашифрованного файла в следующем формате: Gricakova@techemail.com_[original file name]

Например, файл photo.jpg  будет переименован в Gricakova@techemail.com_photo.jpg

  Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео и пр. на локальных и сетевых дисках, в том числе и на неотображаемых сетевых ресурсах. Примечательно, что миниатюры зашифрованных файлов изображений показывают не пустое изображение, а реальную миниатюру. 

  По окончании шифрования перед жертвой выходит сообщение о выкупе. Записки о выкупе называются !satana!.txt и размещаются в каждой папке с зашифрованными файлами. 
 
  После перезагрузки ПК на экране на чёрном фоне выводится красный устрашающий текст.  

Текст с экрана:
You had bad luck. There was crypting of all your files in a FS bootkit virus <!SATANA!>
To decrypt you need send on this E-mail: banetnatia@mail.com your private code: 14B4030A8A7F8B8D7B1101720567C27E and pay on a Bitcoin Wallet: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T total 0,5 btc After that during 1 - 2 days the software will be sent to you - decryptor - and the necessary instructions. All changes in hardware configurations of your computer can make the decryption of your files absolutely impossible! Decryption of your files is possible only on your PC! Recovery is possible during 7 days, after which the program - decryptor - can not ask for the necessary signature from a public certificate server. Please contact via e-mail, which you can find as yet in the form of a text document in a folder with encrypted files, as well as in the name of all encrypted files.If you do not appreciate your files we recommend you format all your disks and reinstall the system. Read carefully this warning as it is no longer able to see at startup of the computer. We remind once again- it is all serious! Do not touch the configuration of your computer!
E-mail: banetnatia@mail.com - this is our mail
CODE: 14B4030A8A7F8B8D7B1101720567C27E this is code; you must send
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T here need to pay 0,5 bitcoins
How to pay on the Bitcoin wallet you can easily find on the Internet. Enter your unlock code, obtained by E-mail here and press "ENTER" to
continue the normal download on your computer. Good luck! May God help you!
<!SATANA!>

Перевод на русский язык:
Вам не везло. Все ваши файлы зашифровал FS буткит-вирус <!SATANA!>
Для дешифровки отправьте на почту: banetnatia@mail.com ваш код: 14B4030A8A7F8B8D7B1101720567C27E и оплатите на Bitcoin-кошелек: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T всего 0,5 BTC. В течение 1-2 дней вам будет отправлен дешифровщик и инструкции. Изменения в аппаратной конфигурации вашего компьютера могут сделать дешифровку файлов невозможной! Дешифровка файлов возможна только на вашем ПК! Восстановление возможно в течение 7 дней, после чего программа - декриптор - не сможет получить с сервера подписанный сертификат. Свяжитесь с нами по email, который можно найти еще в текстовом документе в папке с зашифрованными файлами, а также в  имени всех зашифрованных файлов. Если вы не цените свои файлы, мы рекомендуем отформатировать все диски и переустановить систему. Внимательно прочтите это предупреждение, т.к. его не будет при следующем запуске ПК. Напоминаем - это все серьезно! Не меняйте конфигурацию вашего ПК!
E-mail: banetnatia@mail.com - это наша почта
КОД: 14B4030A8A7F8B8D7B1101720567C27E этот код вы должны прислать
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T сюда нужно заплатить 0,5 Bitcoins
Как платить на Bitcoin-кошелек можно легко найти в Интернете. Введите код разблокировки, полученный по E-mail здесь и нажмите "ENTER", чтобы продолжить нормальную загрузку ПК. Удачи! Да поможет вам Бог!

Кроме указанного в записке адреса banetnatia@mail.com могут быть другие, в их числе Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются целенаправленные рассылки по странам и регионам. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .7z, .acc, .apk, .asm, .avi, .bak, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cry, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .dgn, .djvu, .doc, .docm, .docx, .dwg, .dxf, .epub, .fb2, .flv, .gbr, .gho, .gif, .gz, .ibooks, .iso, .java, .jpe, .jpeg, .jpg, .js, .key, .ma, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .ods, .odt, .pas, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sdf, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .swf, .tax, .tbl, .tex, .tif, .tiff, .torrent, .txt, .v2i, .vpd, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (114 расширений).

После шифрования Satana удаляет теневые копии файлов и автоматически перезагружает ПК. 

Важно отметить, что Satana, в отличие от других вымогателей, изменяет параметры загрузки компьютера. Он заменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и выводит на экран вымогательский текст. После перезагрузки ПК потерпевшие не смогут получить доступ к своему рабочему столу, т.к. им будут отображаться требования вымогателя. 

К сожалению, пока нет никаких дешифровщиков для этого вымогателя и нет никакого другого способа восстановления файлов и системы из резервной копии.

Статья от MalwareBytes >>

Результаты анализов:
Hybrid analysis >>  HA>> HA>>
𝚺  VirusTotal analysis >>  VT>> VT>>
𝚺  VirusTotal analysis (bootloader + 'kernel') >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя
Подробные сведения собираются регулярно.

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *