خانه / باج افزار / تحلیل باج افزار Saturn

تحلیل باج افزار Saturn

رصد فضای سایبری در حوزه باج‌افزار، از ظهور نمونه جدید و خطرناکی به نام Saturn خبر می دهد. مشاهدات اولیه حاکی از آن است که احتمالاً با باج افزاری از خانواده BTCWare روبرو هستیم. بر اساس گفته کارشناسان، در حال حاضر هیچ نقطه ضعف یا آسیب پذیری از باج افزار مذکور مشاهده نشده است. بنابراین نمی‌توان انتظار داشت ابزار رمزگشایی این باج افزار براحتی بدست آید. علاوه بر آن هنوز روش مشخصی برای انتشار باج افزار Saturn گزارش نگردیده است. در ادامه خلاصه‌ای از تحلیل باج افزار مورد اشاره را مشاهده می‌نمایید.

نتایج حاصل از بررسی ها نشان می دهد باج افزار مورد اشاره ابتدا فایل های موجود در درایوها را با استفاد از الگوریتم رمزنگاری AES ، رمزگذاری کرده و پیغام باج خواهی خود را با دو فرمت TXT و HTML در کنار فایل های رمزگذاری شده قرار می دهد ، همچنین فایلی با پسوند .KEY را در اختیار قربانی قرار داده تا برای رمزگشایی از آن استفاده کند. باج افزار Saturn می تواند فایل هایی با پسوندهای زیر را رمزگذاری کند. تمامی فایل‌های زیر پس از اتمام فرآیند رمزگذاری، به پسوند “.saturn” تغییر پیدا می کنند.

..۱۲۳, .۱cd, .3dm, .3ds, .602, .accdb, .aif, .apk, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .cdr, .cfg  .cgm, .class, .com, .config, .cpp, .crt, .csr, .csv, .dat, .dbf, .dif, .doc, .docm, .docp, .docx, .dwg,. gm, .mif ,  .h,  .ico, .iff, .mp3, .mp4, .mpa, .ms11. (Security .copy), .ms11, .msg, .nef, .obj, .odg, .odt, .ogg, .p12, .pages, .pas, .pdb , .pdf, .pem, .php, .png, .pproj, .pps, .ppt, .pptm, .pptx, .prproj, .ps1, .psd,  .py,  .qcow2, .rar, .rtf,. sfk, .sql, .sqlite, .svg, .tar, .text, .tif, .tiff, .torrent, .txt, .vbox, .vbs, .vdi, .veg, .vmdk, .vmx, .wallet, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip

 پس از اتمام رمزگذاری فایل ها، باج افزار Saturn تصویر زمینه دسکتاپ قربانی را به صورت زیر تغییر می‌دهد :

مبلغ باج خواهی این باج افزار برای مدت ۷ روز ، ۳۰۰ دلار می باشد و اگر قربانی در این مدت مبلغ باج را پرداخت نکند به ۶۰۰ دلار افزایش پیدا خواهد کرد . همچنین اگر این مبلغ تا یک ماه پرداخت نشود، فایل های رمزگذاری شده به صورت کامل از بین خواهند رفت و دیگر راهی برای بازگرداندن آنها وجود ندارد .

ارتباطات شبکه:

لیست دامنه های درخواست شده توسط باج افزار Saturn :

آدرس IP دامنه کشور
۶۶٫۲۲۵٫۱۹۷٫۱۹۷ crl4.digicert.com امریکا
۹۳٫۱۸۴٫۲۲۰٫۲۹ crl3.digicert.com اروپا

سایر IP های مشکوک یافت شده :

آدرس IP کشور
۱٫۱٫۱٫۱ استرالیا

مشخصات فایل اجرایی :

نام فایل Saturn.exe
اندازه ۳۴۶۶۲۴ bytes
SHA-1 ۷۷c525e6b8a5760823ad6036e60b3fa244db8e42
SHA-256 ۹e87f069de22ceac029a4ac56e6305d2df54227e6b0f0b3ecad52a01fbade021
MD5 bbd4c2d2c72648c8f871b36261be23fd
کامپایلر ویژوال C++

 

 

 

 

همچنین ببینید

کارگاه آموزشی باج‌افزار و روش‌های پیشگیری از اخاذی دیجیتال برگزار شد.

کارگاه آموزشی “باج‌افزار و روش‌های پیشگیری از اخاذی دیجیتال” توسط مرکز تخصصی آپا دانشگاه بجنورد …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload the CAPTCHA.