Експерти з безпеки виявили новий ресурс, що дозволяє розповсюджувати шифрувальники-здирники всім охочим.
Творці нового шифрувальника Saturn майже відразу створили RaaS-сервіс для поширення шкідливої програми силами «ентузіастів». На відміну від інших аналогічних ресурсів, передоплати від користувачів Saturn RaaS не вимагає лише знімає комісію у розмірі 30% від сплаченої суми викупу.
Новий шифрувальник-вимагач
Експерти з безпеки виявили новий ресурс, що дозволяє поширювати шифрувальники-здирники всім охочим. За свої послуги RaaS-сервіс Saturn бере 30% комісії.
На відміну від інших аналогічних сервісів, а їх досить багато, Saturn не вимагає передоплати, тільки стягує комісію. Зважаючи на все, він створений з метою поширення нового шифрувальника з тим же найменуванням (Saturn), просто розробники намагаються використовувати принципи краудсорсингу, щоб заощадити на зусиллях самим. Фактично творці Saturn не беруть комісію, а приплачують ентузіастам.
Для самих цих ентузіастів достатньо зареєструватися на порталі в даркнеті і скачати собі копію шкідливості, яку потім потрібно впровадити в різні файли (документи Office, PDF або EXE) і розсилати через спам.
Мабуть, Saturn надає можливості генерації шкідливих файлів, проте займатися пошуком інструментів для поширення пропонується самим користувачам. Однак знайти їх у даркнеті нескладно.
Платіжний портал Saturn розміщується за адресою su34pwhpcafeiztt.onion. Саме там жертвам доведеться виплачувати викуп у біткоїнах.
Ціна питання
Раніше експерти MalwareHunterTeam провели великий аналіз самого шифрувальника Saturn. Це, мабуть, справді зовсім нова програма, яка використовує досить надійний алгоритм, щоб розшивати пошкоджені ним файли, було неможливо без ключа від зловмисників.
Розмір викупу за замовчуванням становить $300 (у біткоїнах), але за тиждень потрібна сума подвоюється. Список розширень, що атакуються Saturn, включає десятки типів файлів. Серед них є більш ніж поширені: zip, rar, dat, php, jpg, gif, avi, wmv, xls, doc, txt та ін. До всіх зашифрованих файлів додається розширення .saturn.
Шифрувальник має інструмент перевірки на предмет віртуальних середовищ. Якщо він виявляє, що працює у віртуальній машині, він негайно деактивує свій процес.
Зазначимо, що RaaS-сервіси останнім часом набули значної популярності, оскільки їх творці та користувачі дуже зацікавлені один в одному. Творці вважають за краще перекласти на чужі плечі поширення своєї розробки (і мати з цього відсоток), в той час час як розповсюджувачі шифрувальників просто шукають можливість заробити, не обтяжуючи себе написанням будь-якого коду. Розміри комісії та пропонованої за умовчанням суми викупу можуть різнитися, але принципи одні й ті самі.
