Если вы не видите здесь изображений, то используйте VPN.

среда, 18 апреля 2018 г.

Satyr

Satyr Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.018 BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad или tony_montana. 

© Генеалогия: Общий крипто-строитель SF Ransomware >>  Spartacus, Satyr, BlackRouter, BlackHeart



К зашифрованным файлам добавляется расширение .Satyr

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: https://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the\r\ndecryption tool that will decrypt all your files.
Your personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***

Перевод записки на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Ваш персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***


Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:


Содержание текста о выкупе:
Security tips
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: xxxxs://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Перевод текста на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командами:
cmd.exe /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet

➤ Исследователи вредоносных программ подтвердили родство двух вредоносных программ: Spartacus и Satyr, которое я предположил, сравнив имеющиеся визуальные элементы этих двух вымогательств.  


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
Satyr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше
Spartacus Ransomware - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackRouter Ransomware  - 18 апреля 2018, январь 2019
BlackHeart Ransomware - 21 апреля 2018, июнь 2020
RansomAES Ransomware - 7 мая 2018
M@r1a Ransomware - 3 ноября 2018, май 2019
BlackHat Ransomware - 4 декабря 2018
Prodecryptor Ransomware - апрель 2019
Tor+ Ransomware - декабрь 2019
Tsar Ransomware - февраль 2020
Badboy Ransomware - июнь 2020
Alix1011RVA Ransomware - сентябрь 2020
Prodecryptor - январь 2021 или раньше



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satyr)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *