Satana Bootkit kriptuje fajlove i onemogućava pristup Windowsu
Uz instrukcije za plaćanje otkupnine poručuje: "Good Luck! May God help you!"
Otkriven je novi "2u1" ransomware - Satana. Kada se instalira, ovaj ransomware kriptuje fajlove koristeći standardni fajl crypter, a zatim instalira i bootlocker kako bi vam onemogućio pristup Windows-u. Bootlocker se pojavljuje neposredno pre podizanja Windows-a i zahteva password za ulazak u Windows. Kako bi dobili ključ za dekripciju, napadači traže uplatu 0.5 bitcoina.
Kada je instaliran, Satana ransomware skenira sve lokalne diskove i nemapirane mrežne diskove i traži određene vrste fajlova koje zatim kriptuje. Meta su sledeći fajlovi:
.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, 3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm.
Kada kriptuje fajlove, ransomware njihovim nazivima dodaje imejl adresu i tri donje crte. Npr, test.jpg postaje Sarah_G@ausi.com___test.jpg. Ubačena imejl adresa je adresa na koju se žrtva obraća kako bi nakon isplate dobila ključeve za dekripciju. Do sad poznate imejl adrese koje ransomware koristi su sledeće:
gricakova@techemail.com ryanqw31@gmail.com Sarah_G@ausi.com rayankirr@gmail.com matusik11@techemail.com megrela777@gmail.com
Istovremeno, ransomware instalira gore pomenuti bootlocker. Stručnjaci kažu da popravkom MBR-a može da se povrati pristup Windows-u, ali nažalost, pitanje kriptovanih fajlova ostaje otvoreno. Kao zadnji korak, ransomware na desktopu ostavlja poruku u .txt fajlu u kojoj su sadržane instrukcije za plaćanje otkupnine. Instrukcije su iste kao one koje se prikazuju na bootlocker ekranu. Nažalost, još uvek nije moguće besplatno dekriptovati fajlove.
Izvor: bleepingcomputer