欢迎访问上海学正数据技术有限公司官方网站!
首页 > 案例展示 > 勒索病毒

最新撒旦.dbger勒索病毒已经成功解密支持所有数据库修复

更新时间:2018-06-22 22:36:35点击次数:8950次
  

安全研究员木糖醇已经发现了一种  名为撒旦的新Ransomware as a Service或RaaS 该服务允许任何想要的犯罪者注册一个帐户并创建他们自己的定制版本的撒旦勒索软件。

一旦勒索软件被创建,那么犯罪者将决定如何分发勒索软件,而RaaS将处理赎金付款并添加新功能。对于这项服务,RaaS开发人员将受害者支付的任何款项减少30%。根据撒旦RaaS的广告,开发者会根据会员收到的付款量减少他们的减价。

促进地下网站
促进地下网站
资料来源:木糖醇

撒旦RaaS

当一个人第一次去到撒旦RaaS时,他们将会看到一个主页,描述这个服务是什么以及一个犯罪分子如何能够用它赚钱。

撒旦RaaS主页
撒旦RaaS主页

一旦用户注册一个帐户并登录,他们将会看到一个联属控制台,其中包含各种可用于帮助分发勒索软件的页面。这些页面是恶意软件,Droppers,翻译,帐户,通知和消息页面。

当有人登录时显示的第一页是恶意软件页面,该页面允许犯罪分子配置他们非常定制版本的撒旦勒索软件的各种设置。在定制方面,没有太多的选择。用户可以指定赎金金额,在一定天数之后它上涨多少,以及赎金付款应该增加的天数。

撒旦RaaS Ransomware生成页面
撒旦RaaS Ransomware生成页面

下面显示Droppers页面提供的代码可帮助会员创建恶意Microsoft Word宏或CHM安装程序。然后,这些联盟可以通过SPAM或其他方式分发勒索软件。

这是我第一次看到像这样的公共RaaS提供关于分发方法的提示和帮助。这种类型的手持可以让一个好奇的会员变成一个活跃的会员。

RaaS Droppers页面
撒旦RaaS Droppers页面

翻译页面允许分支机构拓展赎金票据使用撒旦的语言。 

撒旦RaaS翻译页面
撒旦RaaS翻译页面

帐户页面中,该子公司可以看到的人感染量,支付的金额等信息。

撒旦RaaS账户页面
撒旦RaaS账户信息页面

最后还有一个Notices页面,它将用于显示来自RaaS开发者的消息,以及一个可用于“客户服务”请求消息页面。

至于撒旦勒索本身......

当安装了Satan Ransomware时,它会检查它是否在虚拟机下运行,如果是,则会终止。一旦执行,它将自己注入TaskHost.exe并开始加密计算机上的数据。目前还不知道什么是Satan使用的加密算法,但是它将以下列扩展名为目标文件:

.incpas, .mp4, .pab, .st6, .sas7bdat, .wmv, .backup, .drf, .ibank, .3ds, .odg, .cer, .tif, .cs, .dotx, .7z, .png, .bak, .ibz, .db3, .pbl, .3fr, .dxf, .nk2, .bkp, .mdf, .svg, .xlm, .3dm, .pct, .java, .pot, .sxi, .ibd, .sxw, .pspimage, .ppt, .kbx, .ppsm, .ndd, .txt, .pdb, .say, .backupdb, .fla, .swf, .asx, .accdt, .mp3, .ycbcra, .erf, .cr2, .pfx, .potx, .qby, .sqlite, .blend, .class, .pat, .odp, .gray, .qbw, .tib, .thm, .htm, .mos, .rm, .key, .std, .tlg, .lua, .pst, .sqlitedb, .grey, .cdr4, .dc2, .ce1, .ps, .tex, .eml, .xlam, .pages, .st8, .jar, .st7, .potm, .sdf, .db-journal, .pcd, .aspx, .rwl, .kpdx, .fmb, .xlr, .gry, .kc2, .oil, .moneywell, .xlk, .sti, .accdr, .oth, .c, .xml, .nd, .mdb, .pem, .erbsql, .bpw, .ffd, .ost, .pptm, .dwg, .zip, .qbm, .cdx, .des, .dng, .pdd, .cfp, .nyf, .cgm, .sldm, .xla, .odf, .raf, .crw, .mef, .raw, .x11, .nsd, .fff, .design, .dcs, .ptx, .al, .ns2, .bik, .back, .accdb, .nwb, .cpi, .ads, .odt, .sqlite3, .docm, .drw, .pl, .nx2, .fpx, .rdb, .otp, .msg, .accde, .agdl, .php, .csv, .py, .rtf, .ach, .sda, .ddd, .asf, .dotm, .cmt, .h, .hbk, .xlsx, .s3db, .tga, .wav, .iif, .dxb, .sql, .db, .sd0, .bgt, .djvu, .jpg, .doc, .craw, .mpg, .sxd, .kdc, .jpeg, .psafe3, .flac, .dtd, .act, .qba, .vob, .cdrw, .eps, .bkf, .mdc, .rar, .mov, .cdf, .m4v, .ab4, .bank, .pps, .cib, .dot, .dgc, .exf, .flv, .xlsb, .ddrw, .adb, .srw, .plc, .csh, .xls, .fxg, .otg, .pas, .xlt, .indd, .rwz, .xltx, .apj, .stw, .xltm, .orf, .ott, .qbb, .max, .cls, .obj, .docx, .dcr, .cdr3, .qbx, .pdf, .nef, .ots, .srt, .ddoc, .rat, .phtml, .m, .dbx, .nxl, .avi, .p12, .awg, .dbf, .ns3, .mmw, .prf, .wallet, .rw2, .jin, .odc, .qbr, .ppsx, .ns4, .wpd, .wps, .nsh, .dxg, .fhd, .dac, .wb2, .nrw, .odb, .ait, .jpe, .odm, .sldx, .fdb, .acr, .war, .oab, .sxc, .cpp, .r3d, .hpp, .asm, .st5, .stx, .xis, .dds, .xlsm, .p7c, .cdr5, .3g2, .mrw, .sr2, .html, .cdr, .idx, .st4, .bdb, .kdbx, .nsg, .der, .ods, .myd, .nop, .ppam, .pptx, .yuv, .xlw, .mfw, .nsf, .csl, .php5, .p7b, .crt, .asp, .srf, .jsp, .cdr6, .sxm, .iiq, .3gp, .ce2, .arw, .bay, .ai, .sxg, .psd, .3pr, .fh, .pef, .x3f, .sik, .bpp, .vmdk, .spi, .bup, .cvt, .bb, .fkc, .tjl, .dbk, .swp, .fb, .vib, .dtb, .bke, .old, .bkc, .jou, .rpb, .abk, .sav, .bkn, .tbk, .fbw, .vrb, .spf, .bk, .sbk, .umb, .ac, .vbk, .wbk, .mbk

当它加密了一个文件时,它会拼凑它的名字并将.stn扩展名附加到文件中。例如,test.jpg可能会变成ahasd.stn。在对文件进行加密的同时,它还会在每个文件夹中创建一个名为HELP_DECRYPT_FILES.html的勒索音符,以便对文件进行加密。 

完成对计算机的加密后,它将执行C:\ Windows \ System32 \ cipher.exe“/ W:C 命令擦除C:驱动器上未使用空间的所有数据。

最后,它会显示赎金记录,其中包含唯一的受害者ID和TOR付款网站的URL。

撒旦勒索赎金注
撒旦勒索赎金注

当受害者点击其中一个附带的URL时,他们将被带到撒旦的付款站点,他们可以在那里获得付款指示。

付款网站
撒旦勒索支付网站

不幸的是,目前没有办法免费解密这些文件。对于希望讨论此勒索软件或获得支持的用户,可以使用我们的专用帮助主题:  
 

相关的撒旦勒索文件:

HELP_DECRYPT_FILES.html

网络通讯:

https://ejmv6pxsuwqrofa3.onion.to https://satan6dll23napb5.onion.to https://satan6dll23napb5.onion.cab http://satan6dll23napb5.onion.tor2web.org satan6dll23napb5.onion 

哈希表:

SHA256: c04836696d715c544382713eebf468aeff73c15616e1cd8248ca8c4c7e931505



在线客服
咨询电话
021-54255738