• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Satana Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Решения
1
Реакции
6,527
<!SATANA!>

Новый криптовымогатель Satana ведёт себя не совсем традиционным для вымогателей образом. Во-первых, он изменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и вымогательским текстом.

После перезагрузки ПК пользователи уже не смогут получить доступ к Рабочему столу, т.к. им будет отображаться вымогательский кроваво-красный текст, который по замыслу вымогателей должен напугать жертву и принудить её поскорее выплатить выкуп в 0,5 BTC.


boot_screen.webp


Имеется и текстовая записка о выкупе. См. скриншот ниже.
satana-textfile.webp

Во-вторых, к имени зашифрованных файлов SATANA приставляет компонент [email_name] в следующем формате: Gricakova@techemail.com_[original file name].

Кто такая мадам Грицакова? Участвует ли она в процессе вымогания или фамилия вписана в адрес для запутывания? Пока неизвестно. :)

 
Последнее редактирование модератором:
В свете новых исследований добавились новые сведения о Satana Ransomware.

К ранее выявленным целевым расширениям добавилось еще 10 и теперь этот список включается в себя по моим подсчетам 114 расширений:
.1cd .3ds .3gp .7z .acc .apk .asm .avi .bak .bmp .c .cal .casb .ccp .cdr .cer .chm .ckp .cmx .conf .cpp .cr2 .cry .cs .css .csv .dacpac .dat .db .db3 .dbf .dbx .dcx .dgn .djvu .doc .docm .docx .dwg .dxf .epub .fb2 .flv .gbr .gho .gif .gz .iso .ibooks .java .jpe .jpeg .jpg .js .key .ma .mdb .md2 .mdf .mht .mobi .mhtm .mkv .mov .mp3 .mp4 .mpg .mpeg .mrg .ods .odt .pas .pdb .php .pict .pdf .pkg .png .pps .ppsx .ppt .pptx .psd .psp .py .rar .rb .rbw .rtf .sav .scr .sdf .sql .sqlite .sqlite3 .sqlitedb .stl .swf .tax .tex .tiff .tif .tbl .torrent .txt .v2i .vpd .vsd .wmv .xls .xlsx .xps .xml .zip

Сами вымогатели засветили еще 6 своих email-адресов:
Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются таргетированные рассылки по странам и регионам.
 
Назад
Сверху Снизу