一个新发现的勒索软件系列是通过勒索软件即服务(RaaS)业务模型提供的,允许网络犯罪分子轻松定制他们自己的恶意软件。该勒索软件家族由安全研究人员木糖醇发现,并命名为“撒旦(Satan)”。由于它只能通过创建帐户来使用,因此任何打算使用它的犯罪分子都可以使用它。赎金收益只需要作者提成的30%,这让这个RaaS颇具吸引力。事实上,RaaS是故意省力的,因为它处理赎金支付和添加新功能。不过,成为会员需要支付分销费,但开发商声称,成功的案例将奖励更高的赎金支付佣金。“Satan”RaaS站点的欢迎页面有该服务的说明,注册用户可以通过多个页面访问一个控制台来设置自己的勒索软件。这些设置页面包括:恶意软件、投放程序、翻译、帐户、通知和消息。在Malware页面,感兴趣的不法分子可以定制自己的勒索软件:设置赎金金额、赎金不变的天数、过期率。“dropper”页面帮助成员创建恶意的MicrosoftWord宏或CHM安装程序,以通过垃圾邮件或其他方式传播恶意软件。会员可在“翻译”页面展开勒索信件使用的语言,并在“账户”页面追踪受感染人数、支付金额等信息。“通知”页面用于显示来自RaaS开发人员的消息,而“消息”页面用于“客户服务”请求。“撒旦”运营商会特别要求会员不要向VirusTotal分享和下载勒索病毒样本,以降低安全厂商遇到该变种的可能性。该服务目前正在地下论坛上做广告,其中介绍了恶意负载和盈利模式。为了避免分析,“Satan”勒索软件内置了许多虚拟化检查。只要感觉是在虚拟机中运行,进程就会立即终止。如果检查通过,恶意软件会将自身注入TaskHost.exe进程并开始加密受感染计算机上的文件。该勒索软件目前针对超过350种文件类型,安全研究人员仍在分析其加密算法。他们现在所知道的是,恶意软件将.stn后缀附加到加密文件的文件名,而不是在对文件名进行编码之前。在加密过程中,“撒旦”会在每个包含加密文件的文件夹中释放一封名为“HELP_DECRYPT_FILES.html”的勒索信。加密所有文件后,它运行cipher.exe程序,清除C盘未使用空间中的所有数据。“撒旦”的赎金信中包含虚假的受害者ID和指向TOR匿名支付网站的URL,以及用户恢复加密文件时应遵循的说明。赎金票据还声称使用AES-256和RSA-2048加密算法,但是,这尚未得到证实。
