Satyr Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.018 BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad или tony_montana.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: Spartacus ⟺ Satyr
К зашифрованным файлам добавляется расширение .Satyr
Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ ME.txt
Содержание записки о выкупе:
***
Перевод записки на русский язык:
***
Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:
Содержание текста о выкупе:
Security tips
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the
Telegram: https://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will decryption tool that will decrypt all your files.
Технические детали
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Исследователи вредоносных программ подтвердили родство двух вредоносных программ: Spartacus и Satyr, которое я предположил, сравнив имеющиеся визуальные элементы этих двух вымогательств.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
SF.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Satyr) Write-up, Topic of Support *
Thanks: Michael Gillespie MalwareHunterTeam * *
© Amigo-A (Andrew Ivanov): All blog articles.