Исследователи из MalwareHunterTeam обнаружили 6 февраля новую разновидность вируса-вымогателя, который оставляет жертвам не только текстовые, но и голосовые сообщения. Они назвали его Saturn, по расширению, которое зловред добавляет к имени зашифрованного файла. Спустя неделю авторы вредоноса открыли в даркнете сайт, где предлагают всем желающим партнерскую программу по использованию своего ПО. Об этом сообщает издание Bleeping Computer.

Saturn представляет собой типичный шифровальщик. Злоумышленники встраивают его в документы Office, exe- и pdf-файлы, после чего начинают массированную спам-рассылку. Попав на компьютер жертвы, вредонос проверяет, не установлена ли на нем виртуальная среда, которая позволяет тестировать программы, не подвергая опасности физическое устройство. При обнаружении эмулятора паразит прекращает свою деятельность.

Если виртуальной машины нет, зловред удаляет копии теневого тома, отключает средство восстановления запуска Windows и очищает резервный каталог.

После этого вредонос сканирует содержимое компьютера в поисках файлов определенного типа и шифрует их, добавляя к имени расширение .saturn. Его целью являются документы Microsoft Office, изображения, музыка, видео, архивы, торренты, файлы системной конфигурации и настроек.

В каждую папку с закодированными данными вымогатель помещает требование выкупа и инструкции в формате .txt, .html и .vbs. В качестве обоев рабочего стола устанавливается рисунок .bmp, содержащий тот же текст. Все сообщения дублируют друг друга, при этом VBS-скрипт воспроизводит записанное при помощи речевого синтезатора сообщение голосом.

Помимо инструкций в папке содержится файл с ключом KEY-[id].KEY. После того как пользователь перейдет на сайт злоумышленников, размещенный в домене .onion, ему предложат загрузить этот ключ, а также пройти CAPTCHA-тест. Затем жертва попадет в «личный кабинет», где сможет прочитать более подробные инструкции: сколько биткойнов и на какой кошелек следует перевести, чтобы восстановить документы. В настоящее время сумма выкупа составляет 300 долларов. Если в течение 7 дней деньги перечислены не будут, оплата возрастет вдвое. Способа расшифровать файлы исследователи пока не нашли, поэтому жертве остается или заплатить выкуп, или воспользоваться резервными копиями, иначе данные будут потеряны.

Это вредоносное ПО имеет чрезвычайное сходство с вымогателем Cerber, который получил большое распространение в марте 2016 года. Названия зашифрованных файлов, создание голосового сообщения и «личного кабинета» жертвы в onion-домене аналогичны. Cerber также предлагался как услуга (RaaS, ransomware-as-a-service) на одном из русскоязычных хакерских форумов.

Авторы Saturn пошли несколько дальше. Свое предложение о сотрудничестве они разместили в англоязычном даркнете. Желающим нужно всего лишь зарегистрироваться на портале, чтобы получить копию вируса, предварительной оплаты создатели не берут. Впоследствии выкуп поступает на кошелек авторов программы, однако распространителю перечисляют 70% суммы.

Для защиты эксперты рекомендуют выполнять стандартные требования безопасности: не скачивать и не открывать подозрительные файлы, пользоваться антивирусами с актуальной базой, вовремя устанавливать обновления операционной системы и важного ПО, а также обязательно делать резервные копии данных.

Категории: Вредоносные программы, Мошенничество