Novi ransomware Satan se sajber kriminalcima nudi kao servis

Opisi virusa, 25.01.2017, 01:00 AM

Istraživač Xylitol otkrio je novi ransomware kao uslugu (Ransomware as a Service, RaaS) nazvan Satan koji omogućava kriminalcima i onima koji bi to da budu da registruju nalog i naprave sopstvenu verziju ransomwarea Satan.

Kada naprave svoju verziju ransomwarea, na kriminalcima je da odluče kako će ga širiti, dok će se RaaS starati o plaćanju otkupnine i dodavanju novih funkcija. Za ovu uslugu, autor RaaS Satan uzima 30% svake plaćene otkupnine.

Prema uslovima koji su navedeni u oglasu, autor Satan RaaS će smanjiti svoj udeo u zavisnosti od to koliko je otkupnina plaćeno partneru koji distribuira ransomware.

Kada potencijalni korisnik poseti sajt RaaS Satan dočekaće ga početna stranica koja opisuje ovu uslugu i kako zaraditi novac od ovog ransomwarea.

Kada korisnik registruje nalog i prijavi se, videće konzolu za saradnike koja sadrži različite stranice koje korisniku mogu pomoći u distribuciji ransomwarea. Nazivi stranica su Malwares, Droppers, Translate, Account, Notices i Messages.

Prva strana se prikazuje kada se neko prijavi na Malwares stranici, koja omogućava kriminalcima da konfigurišu različita podešavanja njihove verzije ransomwarea Satan. Međutim, u pogledu prilagođavanja, nema mnogo opcija. Korisnik može da odredi iznos otkupnine, kolika ona treba da bude posle nekoliko dana, i posle koliko dana može biti povećana.

Na stranici Droppers nalazi se kod koji pomaže partneru da kreira maliciozne Microsoft Word makroe ili CHM instalerie. Njih partner može koristiti za distribuciju ransomwarea pomoću spama ili na druge načine.

Stranica Translate omogućava partnerima da obaveštenja o otkupnini prevedu na druge jezike.

Na stranici Account partneri mogu videti broj inficiranih računara, plaćenih otkupnina i druge informacije.

Stranica Notices prikazuje poruke programera ransomwarea, a stranica Messages je za zahteve korisnika servisa.

Kada se Satan instalira, on proverava da li je pokrenut u virtualnom okruženju, i ako je tako, on će prestati da radi. Kada se pokrene, ransomware se ubacuje u TaskHost.exe i počinje da šifruje podatke na računaru. Ne zna se kakvu enkripciju Satan koristi. Broj ekstenzija koje cilja malver je veliki.

Fajlu koji šifruje, ransomware dodaje ekstenziju .stn i skrembluje naziv fajla, pa će fajl test.jpg posle šifrovanja biti ahasd.stn. Dok kriptuje fajlove, Satan kreira i obaveštenje o otkupnini pod nazivom HELP_DECRYPT_FILES.html koje se nalazi u svakom folderu u kome ima šifrovanih fajlova.

Kada završi sa enkripcijom, Satan izvršava komandu za brisanje svih podataka sa nekorišćenog prostora na C: Drive.

Na kraju, Satan prikazuje poruku o otkupnini koja sadrži jedinstveni ID žrtve i URL-ove za TOR sajt za plaćanje otkupnine. Kada žrtva klikne na jedan od linkova dospeće na sajt gde je čekaju instrukcije za plaćanje.

Na žalost, za sada nema načina da se fajlovi besplatno dešifruju.