среда, 18 января 2017 г.

Satan RaaS

Satan Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогательский проект RaaS поставляет настраиваемые крипто-вымогатели, которые шифруют данные пользователей с помощью AES-256 + RSA-2048, а затем требуют настроенную сумму выкупа в биткоинах, чтобы купить декриптер и вернуть файлы. Название оригинальное. На файле также указано: RAAS RANSOMWARE.

© Генеалогия: возможно, оригинальный проект.

Имена зашифрованных файлов переименовываются до неузнаваемости. 
К зашифрованным файлам добавляется настраиваемое расширение. В изученном образце было .stn


Компиляция с отметкой времени исполняемого файла этого крипто-вымогателя пришлась на 17 января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Название и содержание записок с требованием выкупа настраивается. В изученном образце записка HELP_DECRYPT_FILES.html была в каждой папке, где были зашифрованы файлы. 
Записка о выкупе

Содержание записки о выкупе:
English | Portugues
What happened to my files ?
All of your personal files were encrypted using AES-256 and RSA-2048
What does this mean ?
This means that the content of your files have been changed, you will not be able to use them, it is basically the same as losing them forever. However, you can still get them back with our help.
How can I get my files back ?
As said before, your files have been encrypted, in order to decrypt them, you'll need the private key of the key pair that was generated when your files were encrypted.
Decrypting your files is only possible with the private key and the decrypter.
If you really value your data, then you should not waste time and follow the instructions in the link below:
xxxxs://satan6dll23napb5.onion.to/***?lang=en
xxxxs://satan6dll23napb5.onion.cab***?lang=en
xxxx://satan6dll23napb5.onion.tor2web.org***?lang=en
If the links above are not available, you should follow these steps instead:
1. Download and install the Tor Browser
2. After you’ve installed it, run the browser and wait for it to initialize
3. Type in the address bar: xxxx://satan6dll23napb5.onion***?lang=en
4. Follow the instructions on the page

Перевод на русский язык:
английский | португальский
Что случилось с моими файлами?
Все ваши личные файлы были зашифрованы с AES-256 и RSA-2048
Что это значит?
Это значит, что содержание ваших файлов было изменено, вы не сможете использовать их, это все равно что потерять их навсегда. Тем не менее, вы все равно можете получить их обратно с нашей помощью.
Как я могу получить мои файлы обратно?
Как было сказано ранее, ваши файлы были зашифрованы, для того, чтобы расшифровать их, вам потребуется секретный ключ пары ключей, которая была сгенерирована, когда были зашифрованы файлы.
Расшифровка файлов возможна только с закрытым ключом и декриптером.
Если вы действительно цените ваши данные, то не тратьте время и следуйте инструкциям по ссылке ниже:
xxxxs://satan6dll23napb5.onion.to/***
xxxxs://satan6dll23napb5.onion.cab***
хххх://satan6dll23napb5.onion.tor2web.org***
Если ссылки выше недоступны, вы должны следовать этим инструкциям:
1. Загрузите и установите браузер Tor
2. После того, как вы установили его, запустите браузер и ждите его инициализации
3. Введите в адресной строке: хххх://satan6dll23napb5.onion***
4. Следуйте инструкциям на странице


Содержание текста на onion-сайте вымогателей (без входа):
What is Satan?
Apart from the mythological creature, Satan is a ransomware, a malicious software that once opened in a Windows system, encrypts all the files, and demands a ransom for the decryption tools.
How to make money with Satan?
First of all, you'll need to sign up. Once you've sign up, you'll have to log in to your account, create a new virus and download it. Once you've downloaded your newly created virus, you're ready to start infecting people.
Now, the most important part: the bitcoin paid by the victim will be credited to your account. We will keep a 30% fee of the income, so, if you specified a 1 BTC ransom, you will get 0.7 BTC and we will get 0.3 BTC. The fee will become lower depending on the number of infections and payments you have.

Перевод текста на onion-сайте вымогателей на русский язык:
Что такое Satan?
Помимо мифологического существа, Satan это вымогатель, вредоносная программа, которая запустившись в системе Windows, шифрует все файлы, и требует выкуп за инструменты дешифрования.
Как заработать деньги с Satan?
Сначала вам надо зарегистрироваться. После регистрации вы должны войти в свой аккаунт, создать новый вирус и загрузить его. После того, как вы загрузили вновь созданный вирус, вы уже будете готовы заражать людей.
Теперь самая важная часть: Bitcoin выплаченные потерпевшим будут зачислены на ваш счет. Мы удержим 30% от суммы дохода, так если вы указали 1 BTC выкупа, вы получите 0,7 BTC и мы получим 0,3 BTC. Плата будет ниже, в зависимости от числа имеющихся у вас инфекций и платежей.

После регистрации и входа новый партнер вымогательского сервиса получает описание и инструкции для использования. 
Текст с экрана:
Satan is a free to use ransomware kit, you only need to register on the site to start making your viruses. Satan only requires a user name and password to create an account, althrough, if you wish, you can set a public key for two-factor authentication. Satan has a initial fee of 30% over the victim's payment, however, this fee will get lower as you get more infections and payments. All of the user transactions are covered bv the server, you’ll always get what the victim paid, minus the fee of course.
When creating your malware you can specify the ransom value (in bitcoins), a multiplier for the ransom after X days have passed, the number of days after the multiplier takes place, a private note so you can keep track of your victims.
• Satan is free. You just have to register on the site.
• Satan is very easy to deploy, you can create your ransomware in less than a minute.
• Satan uses TOR and Bitcoin for anonymity.
• Satan's executable is only 170kb.
If english is not your first language or you speak a second language you can translate the ransom notes to help your victims understand better what is happening.
In case you're looking for a way to spread the ransomware, there is a droppers page, where you can generate a crude code for a Microsoft Word macro and CHM file.
If you have any problem with the ransomware, you can report it using the leftmost button on the malwares table. The middle blue button is used to update the malware to a newer version, if available, and the green one is used to edit your malware configuration.

Перевод на русский:
Satan это свободный к использованию вымогательский набор, вам нужно только зарегистрироваться на сайте, чтобы начать делать вирусы. Satan требует только имя пользователя и пароль для создания учетной записи, хотя, если вы хотите, то можете установить открытый ключ для двухфакторной аутентификации. Satan имеет первоначальный взнос в 30% от оплате жертвы, но эта плата уменьшится, когда у вас будет больше инфекций и платежей. Все пользовательские транзакции скрываются сервером, вы всегда будете получать то, что заплатила жертва, за вычетом комиссионных, конечно.
При создании вредоноса вы можете указать сумму выкупа (в биткоинах), умножение для выкупа после Х прошедших дней, количество дней после того, как умножение имеет место, частную запсику, так вы можете следить за своими жертвами.
• Satan свободен. Вы просто должны зарегистрироваться на сайте.
• Satan очень легко развернуть, вы можете создать свой вымогатель меньше, чем за минуту.
• Satan использует TOR и Bitcoin для анонимности.
• Satan исполняемый файл только 170 Кб.
Если английский не ваш родной язык или вы говорите на втором языке, то можете перевести записки о выкупе для помощи вашим жертвам, чтобы понять, что случилось.
Если вы ищете способ распространять вымогатель, есть дроппер-страница, где вы можете создать сырой код для макросов Microsoft Word и CHM-файл.

Если у вас есть какие-то проблемы с вымогателем, вы можете сообщить, используя крайнюю левую кнопку на странице malwares. Средняя синяя кнопка служит для обновления вредоноса на более новую версию, если такая будет, а зелёная используется для редактирования конфигурации вредоноса.

Содержание текста на onion-сайте вымогателей (после входа): Крипто-конструктор имеет уже известные опции настройки по себя. На одной из страниц крипто-конструктора можно задать общие данные (сумму выкупа, лимит в днях, записку, прокси и пр.). На другой можно создать дроппер для распространения с email-вложениями. На следующей расширить языковую поддержку (добавить перевод на другой язык). И еще на одной узнать количество инфицированных ПК, выплаченную сумму и другую информацию. Я собрал все три страницы в одно gif-изображение. 
Страницы сайта Satan RaaS для создания вредоноса

Распространяется или может распространяться посредниками с помощью email-спама и вредоносных вложений (макросов Microsoft Word и CHM-файлов), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .abk, .ac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bb, .bdb, .bgt, .bik, .bk, .bkc, .bke, .bkf, .bkn, .bkp, .blend, .bpp, .bpw, .bup, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .cvt, .dac, .db, .db3, .dbf, .db-journal, .dbk, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtb, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fb, .fbw, .fdb, .ffd, .fff, .fh, .fhd, .fkc, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq,.incpas, .indd, .jar, .java, .jin, .jou, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mbk, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .old, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rpb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .say, .sbk, .sd0, .sda, .sdf, .sik, .sldm, .sldx, .spf, .spi, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .swp, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbk, .tex, .tga, .thm, .tib, .tif, .tjl, .tlg, .txt, .umb, .vbk, .vib, .vmdk, .vob, .vrb, .wallet, .war, .wav, .wb2, .wbk, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (361 расширение).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
ransom.exe
HELP_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***satan6dll23napb5.onion
***satan6dll23napb5.onion.to
***satan6dll23napb5.onion.cab
***satan6dll23napb5.onion.tor2web.org
***ejmv6pxsuwqrofa3.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая на момент публикации.
Подробные сведения собираются регулярно.


Обновление от 21 января 2017:
Файл: ransomware3.exe
Версия: 1.0.0.3
Результаты анализов: HA + VT
Сетевые адреса:
***satan6dll23napb5.onion.to
***satan6dll23napb5.onion.cab
***satan6dll23napb5.onion.tor2web.org
***satanu67tevrx72l.onion/g.php
***xhj4hypdsb3jozwn.onion.link/g.php
***satan6dll23napb5.onion
***satanu67tevrx72l.onion
***xhj4hypdsb3jozwn.onion




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satan)
 Write-up (only this article)
Added later
Write-up on BC (add. January 20, 2017)
 Thanks: 
 Xylitol
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

  1. Он может работать без Интернета на виртуальной машине?

    ОтветитьУдалить
    Ответы
    1. См. результаты гибридного анализа. Сообщается, что при запуске проверяет не запущен ли он в виртуалке и проверяет наличие отладчиков. Обычный функционал современных шифровальщиков. На мякине их уже не проведёшь.

      Удалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *