Satana, die Ransomware aus der Hölle

Mit Carlos Santana verbinde ich persönlich gute Musik, die ich seit meiner Jugend höre. Streicht man ein "n", wird das Ganze zu Satana (Satan), dem Namen einer neuen Ransomware, die nicht nur Dokumente verschlüsselt, sondern nach getaner Arbeit das Booten des Betriebssystems blockiert.


Anzeige

Eigentlich könnte ich täglich über neue Ransomware-Angriffe berichten – und es gibt eine Menge Artikel im Blog. Sicherheitsforscher von Kaspersky berichten im Blog-Beitrag Satana: Ransomware from hell über einen neu gefundenen Schädling. Satana steht für Satan, was laut Kaspersky aus dem Russischen abgeleitet wurde.

Die Ransomware Satana scant alle Laufwerke und Netzwerkfreigaben und versucht Dateien mit den Erweiterungen .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas und .asm zu verschlüsseln. Vor dem Namen jeder verschlüsselten Datei wird eine E-Mail Adresse mit drei Unterstrichen gestellt (die Datei Sarah_G@ausi.com___test.jpg ist die verschlüsselte Variante von test.jpg).

(Quelle: Kaspersky)

Die E-Mail-Adresse dient den Opfern zur Kontaktaufnahme mit den Erpressern, um die Entschlüsselungsinformationen anzufordern. Laut Kaspersky werden bisher sechs E-Mail-Adressen von der Ransomware verwendet. Satana fordert 0,5 Bitcoins (ca. 305 Euro) vom Opfer für diese Informationen.


Anzeige

Gleichzeitig tauscht die Malware den Bootrecord (MBR) der Festplatte aus und verhindert so, dass sich die Maschine mit Windows booten lässt. Diesen Mechanismus kennt man vom Trojaner Petya. Offenbar gibt es aber bereits Anweisungen, wie man die Boot-Blockade aufheben kann. Detailliertere Anweisungen hat man bei Windows Club im Blog veröffentlicht. Man kann aber auch die Anweisungen in meinem Blog-Beitrag Windows 10-Upgrade liefert Fehler 0xD0000225 zur Reparatur des MBR verwenden.

Leider besteht bisher keine Möglichkeit, im wieder bootenden Betriebssystem die verschlüsselten Dateien zu entschlüsseln. Bisher ist Satana noch nicht allzu weit verbreitet und der Code enthält Schwachstellen, die Sicherheitsforscher als Ansatz zum Aushebeln verwenden könnten. Aber mal schauen, ob das Teil weiter entwickelt wird. Die Verbreitung könnte über Exploit-Kits und E-Mail-Anhänge passieren.

Ähnliche Artikel
Ransomware-Alarm: Petya kommt mit Mischa im Beipack
Nice: Petya-Verschlüsselung geknackt, Hilfe für Opfer
6 gratis Entschlüsselungs-Tools für Ransomware-Opfer


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Satana, die Ransomware aus der Hölle

  1. Ralf Lindemann sagt:

    „Leider besteht bisher keine Möglichkeit, im wieder bootenden Betriebssystem die verschlüsselten Dateien zu entschlüsseln." – Die einzige Abwehrmaßnahme, die in solchen Fällen greift, ist ein Backup auf einem externen Datenträger, von dem sich die verschlüsselten Dateien wiederherstellen lassen. Man kann es nicht oft genug sagen: Wer bislang auf eine Sicherung von System und Daten verzichtet hat, sollte das dringend nachholen – heute, jetzt.

  2. deo sagt:

    Dann aber besser die Sicherungen nicht nur auf einer lokal erreichbaren Festplatte ablegen. Man sollte sie auch nicht als zip-Datei oder als eine sonst weit verbreiteten Dateiart sichern.

  3. Wolfgang Schneider sagt:

    Also ich denke, wenn das Kind in den Brunnen gefallen ist. Alle Platten
    die im Rechner sind, komplett formatieren. Danach das Image von Windows
    zurück auf "C" (sollte man unbedingt besitzen) und dann den Rest (privates)
    auf die vorher formatierten Platten zurück.

    Natürlich rede ich hier von einer Externen, die nicht angeschlossen sein
    darf. Ist sie doch angeschlossen, wird selbige auch verschlüsselt/verseucht.
    :-(

  4. Tim sagt:

    Nur MBR betroffen? Dann wäre man mit EFI GPT ja möglicherweise nur halb betroffen.
    Oder vielleicht gar nicht? Einige, grad ältere, Verschlüsselungsprogramme haben ja grundsätzlich ihre Probleme mit GPT partitionierten Systemen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.