Bootkit Satana cifra tus archivos y luego te deja fuera de windows


Un nuevo ransomware llamado Satana fue descubierto por el investigador de seguridad S! Ri de Malwarebytes. Una vez instalado, el ransomware Santana cifrará sus archivos usando un encriptador de archivo estándar y luego también instalará un bootlocker para evitar que pueda iniciar sesión en Windows. Este bootlocker se mostrará inmediatamente antes de que se inicie Windows y requerirá una contraseña antes de permitir que una víctima pueda iniciar sesión en Windows. El ransomware Satana pide .5 bitcoins con el fin de obtener la clave de descifrado.


Cuando el ransomware Satana se instala por primera vez escaneará todas las unidades locales y recursos compartidos de red sin asignar para encontrar ciertos tipos de archivos y cifrarlos a continuación. Los tipos de archivo específicos que busca son:

.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm,
Al cifrar los archivos, añadirá una dirección de correo electrónico y luego tres guiones al nombre de archivo. Por ejemplo, podría convertirse en test.jpg [email protected]___test.jpg. La dirección de correo electrónico introducido es al cual debe ponerse en contacto la víctima después de hacer el pago con el fin de recuperar la clave de descifrado. Las direcciones de correo electrónico que se han visto asociados a este ransomware son:

[email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Al mismo tiempo, el ransomware también instalará un bootlocker de modo que un usuario no pueda iniciar Windows. De acuerdo con hasherezade, se instala en el MBR permitiendo que aparezca siempre lo mismo cada vez que se intente reiniciar el sistema. Desafortunadamente, aún no hay herramientas para desencriptar los archivos cifrados.

Por último, el ransomware creará una nota de rescate llamada .txt en el escritorio que contiene instrucciones sobre cómo pagar el rescate. Estas instrucciones son las mismas que muestra en pantalla el bootlocker.