Создан троян-шифровальщик, позволяющий заработать всем желающим

Безопасность Стратегия безопасности Бизнес
мобильная версия
, Текст: Роман Георгиев

Создатели нового шифровальщика Saturn почти сразу же создали RaaS-сервис для распространения вредоносной программы силами «энтузиастов». В отличие от прочих аналогичных ресурсов, предоплаты от пользователей Saturn RaaS не требует, только снимает комиссию в размере 30% от заплаченной суммы выкупа.


Новый шифровальщик-вымогатель

Эксперты по безопасности выявили новый ресурс, позволяющий распространять шифровальщики-вымогатели всем желающим. За свои услуги RaaS-сервис Saturn берет 30% комиссии.

В отличие от других аналогичных сервисов — а их достаточно много — Saturn не требует предоплаты, только взимает комиссию. «Судя по всему, он создан с целью распространения нового шифровальщика с тем же наименованием (Saturn), просто разработчики пытаются использовать принципы краудсорсинга, чтобы сэкономить на усилиях самим, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Фактически, создатели Saturn не берут комиссию, а приплачивают энтузиастам».

Для самих этих энтузиастов достаточно зарегистрироваться на портале в даркнете и скачать себе копию вредоноса, который затем потребуется внедрить в разные файлы (документы Office, PDF или EXE) и рассылать через спам.

Шифровальщик Saturn предлагается распространять за комиссию

По всей видимости, Saturn предоставляет возможности генерации вредоносных файлов, однако заниматься поиском инструментов для распространения предлагается самим пользователям. Однако найти их в даркнете несложно.

Платёжный портал Saturn располагается по адресу su34pwhpcafeiztt.onion. Именно там жертвам придётся выплачивать выкуп в биткоинах.

Цена вопроса

Ранее эксперты MalwareHunterTeam провели обширный анализ самого шифровальщика Saturn. Это, по-видимому, действительно совсем новая программа, использующая достаточно надежный алгоритм, чтобы расшировать поврежденные им файлы было невозможно без ключа от злоумышленников.

Размер выкупа по умолчанию составляет $300 (в биткоинах), но через неделю требуемая сумма удваивается. Список расширений, атакуемых Saturn, включает десятки типов файлов. Среди них есть более чем распространенные: zip, rar, dat, php, jpg, gif, avi, wmv, xls, doc, txt и пр. Ко всем зашифрованным файлам добавляется расширение .saturn.

Шифровальщик снабжен инструментом проверки на предмет виртуальных сред. Если он обнаруживает, что работает в виртуальной машине, то он немедленно деактивирует свой процесс.

Отметим, что RaaS-сервисы в последнее время приобрели значительную популярность, поскольку их создатели и пользователи весьма заинтересованы друг в друге. Создатели предпочитают переложить на чужие плечи распространение своей разработки (и иметь с этого процент), в то время как распространители шифровальщиков просто ищут возможность заработать, не утруждая себя написанием какого-либо кода. Размеры комиссии и предлагаемой по умолчанию суммы выкупа могут разниться, но принципы одни и те же.