Штамм нового вымогателя с российскими корнями был обнаружен экспертами Malwarebytes. Дьявольское творение под говорящим названием «Сатана» (Satana) не только шифрует файлы, но и блокирует загрузку Windows. В качестве выкупа злоумышленник требует полбиткойна (примерно $340).

После внедрения в компьютер жертвы Satana сканирует все локальные диски и сетевые инстанции в поисках файлов с расширениями .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm. Шифруя файлы, зловред добавляет адрес электронной почты и три следующих подряд символа «_» перед именем файла (например, test.jpg превращается в Sarah_G@ausi.com___test.jpg). Электронный адрес в этом случае — адрес, по которому жертва должна связаться с вымогателями для получения ключа после уплаты выкупа. Исследователям известны по крайней мере шесть email-адресов, которые используются в этой ransomware-кампании: Gricakova[at]techemail[.]com, ryanqw31[at]gmail[.]com, Sarah_G[at]ausi[.]com, rayankirr[at]gmail[.]com, matusik11[at]techemail[.]com, megrela777[at]gmail[.]com.

Пока идет процесс шифрования файлов, Satana шифрует главную загрузочную запись (MBR), после чего пользователь не сможет загрузить Windows без пароля. Опытные пользователи, по данным исследователей, могут обойти это препятствие, восстановив MBR при помощи параметров восстановления Windows, но для этого требуется работать с командной строкой Windows и bootrec.exe, что не под силу обычному пользователю. Кроме того, это не поможет расшифровать остальные данные.

Затем пользователю демонстрируется txt-файл с инструкциями по оплате выкупа.

bootlocker

Пока ИБ-эксперты не смогли разработать дешифратор, данных о масштабе использования нового вымогателя также нет.

Категории: Вредоносные программы, Главное