It is currently 23-10-2017 01:45

Обнаружен новый опасный вымогатель Satana

Обнаружен новый опасный вымогатель Satana

by sigismund » 2016-07-05 10:55:17


Шифровальщик Satana подменяет MBR и шифрует файлы на зараженной системе.


Компания Malwarebytes опубликовала в своем блоге исследование нового образца вымогателя, наследующего функционал Petya и Mischa. Вредонос Satana обладает примерно теми же возможностями – умеет шифровать данные и подменяет MBR-запись (Master Boot Record), и точно также работает в двух режимах.

В первом режиме приложение пытается изменить MBR-запись для использования собственного загрузчика. Во втором режиме вредонос ведет себя как обычный шифровальщик. В отличии от ранее известной связки Petya и Mischa, вымогатель Satana использует оба режима совместно, т.е. подменяет MBR-запись и шифрует файлы на диске.

После попадания на систему вредонос шифрует файлы со следующими расширениями на локальных и сетевых дисках:

.bak .doc .jpg .jpe .txt .tex .dbf .db .xls
.cry .xml .vsd .pdf . csv .bmp .tif .1cd .tax
.gif .gbr .png .mdb .mdf .sdf .dwg .dxf .dgn
.stl .gho .v2i .3ds .ma .ppt .acc .vpd .odt
.ods .rar .zip .7z .cpp .pas .asm

Затем шифровальщик подключается к C&C серверу по адресу 185.127.86.186 и передает данные о новом клиенте, а также ключ шифрования. Исследователи не смогли обнаружить место хранения ключа шифрования на зараженной системе. Предположительно, ключ шифрования хранится только на C&C сервере. Таким образом, если C&C сервер будет отключен или недоступен, даже после выплаты выкупа пользователь не сможет расшифровать файлы.

В образце, анализируемом экспертами, был указан некорректный номер биткойн-кошелька. Исследователи не исключают, что в их руки попала предрелизная версия вредоноса.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5