Творці нового шифрувальника Saturn майже відразу ж створили RaaS-сервіс для поширення шкідливої програми силами “ентузіастів”. На відміну від інших аналогічних ресурсів, передоплати від користувачів Saturn RaaS не вимагає, тільки знімає комісію в розмірі 30% від заплаченої суми викупу.
Новий шифрувальник-вимагач
Експерти з безпеки виявили новий ресурс, що дозволяє поширювати шифрувальники-вимагачі всім бажаючим. За свої послуги RaaS-сервіс Saturn бере 30% комісії.
На відміну від інших аналогічних сервісів – а їх досить багато – Saturn не вимагає передоплати, тільки стягує комісію.
“Судячи з усього, він створений з метою поширення нового шифрувальника з тим же найменуванням (Saturn), просто розробники намагаються використовувати принципи краудсорсингу, щоб заощадити на зусиллях самим.Фактично, творці Saturn не беруть комісію, а доплачують ентузіастам“, – вважає Роман Гінятуллін, експерт з інформаційної безпеки компанії SEC Consult Services.
Для самих цих ентузіастів досить зареєструватися на порталі в даркнети і завантажити собі копію шкідливий, який потім буде потрібно впровадити в різні файли (документи Office, PDF або EXE) і розсилати через спам.
По всій видимості, Saturn надає можливості генерації шкідливих файлів, однак займатися пошуком інструментів для поширення пропонується самим користувачам. Однак знайти їх в даркнета нескладно.
Платіжний портал Saturn розташовується за адресою su34pwhpcafeiztt.onion. Саме там жертвам доведеться виплачувати викуп в біткоінах.
Раніше експерти MalwareHunterTeam провели великий аналіз самого шифрувальника Saturn. Це, мабуть, дійсно зовсім нова програма, яка використовує досить надійний алгоритм, щоб расшіровать пошкоджені їм файли було неможливо без ключа від зловмисників.
Розмір викупу за замовчуванням становить $ 300 (в біткоінах), але через тиждень необхідна сума подвоюється. Список розширень, атакованих Saturn, включає десятки типів файлів. Серед них є більш ніж поширені: zip, rar, dat, php, jpg, gif, avi, wmv, xls, doc, txt і ін. До всіх зашифрованих файлів додається розширення .saturn.
Шифрувальник забезпечений інструментом перевірки на предмет віртуальних середовищ. Якщо він виявляє, що працює у віртуальній машині, то він негайно деактивує свій процес.
RaaS-сервіси останнім часом набули значної популярності, оскільки їх творці і користувачі дуже зацікавлені один в одному. Творці вважають за краще перекласти на чужі плечі поширення своєї розробки (і мати з цього відсоток), в той час як розповсюджувачі шифрувальників просто шукають можливість заробити, не обтяжуючи себе написанням будь-якого коду. Розміри комісії і пропонованої за замовчуванням суми викупу можуть різнитися, але принципи одні і ті ж.
Джерело:c.news