安全团队MalwareHunterTeam在上周日向我们介绍了一款新的恶意软件,它被怀疑是勒索软件Satan的一个新变种。自2017年11月以来,该变种就一直在利用永恒之蓝(ExternalBlue)漏洞并通过 络传播,从而对文件进行加密。
根据恶意软件研究技术 站Bleeping Computer在之前的 道,Satan勒索软件最初是在2017年1月被发现的。在当时,一名推特ID为“Xylitol”的安全研究员发现了一项名为“Satan(撒旦)”的勒索软件即服务(Ransomware as a Service,RaaS),允许任何人通过注册来创建自定义的Satan勒索软件。
Satan的开发者为此专门设立了一个 站,允许任何人进行注册和登录。在注册成为该 站的会员后便可以使用 站提供的工具和功能来创建Satan勒索软件变种,并能够通过该 站来实时监测勒索软件的传播状态以及赎金支付情况。
开发者将从会员收取到的赎金总额中抽取30%作为回 。根据Satan RaaS的广告,如果会员收到的赎金总额并不多,他们还会考虑适当减少抽取的费用。
MD5:12bc52fd9da66db3e63bfb196ceb9be6
SHA1:4508e3442673c149b31e3fffc29cc95f834975bc
SHA256:b686cba1894f8ab5cec0ce5db195022def00204f6cd143a325608ec93e8b74ee
编译时间戳:2018-04-14 06:33:08
该文件与PECompact 2(脱壳机器工具)打包在一起,因此文件大小只有30KB。
从VirusTotal(一个提供免费的可疑文件分析服务的 站)的扫描结果来看,目前仍有部分安全产品无法将sts.exe检测为恶意文件。
sts.exe的主要作用是充当其他文件的下载器,并会在执行后下载并使用特定的密码来提取两个新的文件(Client.exe和ms.exe)。其中,Client.exe是一个包含有Satan的最终有效载荷(Cryptor.exe)的SFX文件;ms.exe则被用于加载永恒之蓝漏洞,并扫描易受攻击设备。
从之前的 道来看,Satan会加密以下扩展名的文件:
对于这个新发现的变种来说,它将不会加密文件路径中包含以下字符串的文件:
windows, python2, python3, microsoft games, boot, i386, ST_V22, intel, dvd maker, recycle, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windows mail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user
另外,它还会以一种新的格式(“[邮箱地址]+原始文件名+.satan”)来重命名加密后的文件,如[satan_pro@mail.ru] Desert.jpg.satan,并显示一个名为“_ How_to_decrypt_files.txt”的赎金票据。
赎金票据与之前的其他变种一样,包含了英文、中文和韩文,并要求用受害者支付0.3比特币(BTC)。从提供的比特币钱包地址所记录的信息来看,目前已经有人向攻击者支付了0.2 比特币。
Satan并不是第一个利用永恒之蓝漏洞的勒索软件,最令我们影响深刻的应该就是在去年袭击了全球150多个国家勒索软件WannaCry(想哭)。但是,这足以说明Satan的开发者仍在不断改进和增加勒索软件的功能。
值得注意的是,Satan作为一种勒索软件即服务,它将比其他勒索软件更具威胁性。因为,这种服务意味着任何人都可以轻而易举地构建复杂的勒索软件,并且在无需掌握过多高端技术的情况下就能够针对目标发起有效的攻击。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!