SATANA Ransomware

SATANA Ransomware

Ransomware ist einer der gefährlichen und üblichen Malwarearten, die es im Web gibt. SATANA Ransomware ist eine der neuesten Infektionen dieser Art und Sie sollten sie entfernen, falls sie es schafft, in Ihren Computer einzudringen, denn ihr Ziel ist es, Ihre persönlichen Dateien mit einem sehr starken Verschlüsselungs-Algorithmus zu verschlüsseln und von Ihnen Geld für den Entschlüsselungscode zu verlangen. Nichtsdestotrotz hat diese Ransomware einige ernsthafte Auflagen, die wir in dieser Beschreibung erläutern möchten. Eine davon ist, dass Sie nach einer Zahlung möglicherweise den Entschlüsselungscode nicht erhalten werden; lesen Sie also bitte weiter, um mehr herauszufinden.

Wenn diese Ransomware in einen Computer eindringt, schreibt ihre Dropper-Datei, die eine tragbare Ausführungsdatei ist, ein Low-Level-Modul am Anfang des Laufwerks. Das Low-Level-Modul ist tatsächlich ein Bootloader mit einem winzigen benutzerdefinierten Kernel. Nachdem die Infektion abgeschlossen ist, verschwindet die tragbare Ausführungsdatei, doch vorher erstellt sie eine Kopie von sich selbst in %TEMP%. Der Name der erstellten ausführbaren Datei ist willkürlich, doch er sollte in Kleinbuchstaben verfasst werden, was Ihnen bei der Identifizierung helfen könnte, da nur sehr wenige Dateien ursprünglich in Kleinbuchstaben verfassen sind. Diese Ransomware wird auch, zusätzlich zur Erstellung einer neuen ausführbaren Datei, eine Textdatei namens !satana!.txt erstellen. Diese Textdatei ist tatsächlich eine Lösegeldforderung, die Anweisungen zur Zahlung beinhaltet.

Die neu erstellte ausführbare Datei ist eingestellt, um automatisch zu starten, doch wenn Sie die Benutzerkontensteuerung aktiviert haben, wird eine Benachrichtigung ausgelöst, die besagt, dass ein Programm eines unbekannten Herausgebers versucht, geöffnet zu werden. Sie können auf Ja und Nein klicken, doch wenn Sie auf Ja klicken, werden Sie dieser Ransomware das Recht gewähren, Ihre persönlichen Dateien zu verschlüsseln. Unsere Recherche hat gezeigt, dass SATANA in der Lage ist, alle Dateiarten zu verschlüsseln, die .bak.doc, .jpg., .jpe, .txt, .tex, .dbf, .db und .xls beinhalten, aber nicht darauf beschränkt sind. Im Grunde genommen zielt diese Ransomware auf Dateien ab, die wahrscheinlich wertvolle Informationen beinhalten, für die Sie das Lösegeld zu zahlen bereit sind. Gemäß der Lösegeldforderung möchten die Entwickler der Malware, dass Sie 0,5 BTC bezahlen, was ungefähr EUR 306 entspricht. Dies ist für die meisten Menschen viel Geld, und die Frage lautet: sind die Dateien so viel Geld wert? Jeder, der über die Bezahlung des Lösegelds nachdenkt, sollte sich diese Frage beantworten.

Wir möchten allerdings betonen, dass sich diese Ransomware noch in der Entwicklung befindet und ihre Herausgeber sie für Testzwecke veröffentlicht haben, d. h. noch nicht alle Funktionen funktionieren. Demzufolge könnte sich die Ransomware nicht mit dem Befehls- und Kontroll-Server verbinden, um den Entwicklern den generierten und verschlüsselten Entschlüsselungscode, für den Sie bezahlen sollten, zu senden. Es gibt keine Möglichkeit, die Dateien mithilfe eines Drittanbieter-Entschlüsselungs-Tools zu entschlüsseln und SATANA Ransomware ist eingestellt, Schattenkopien zu löschen, indem vssadmin.exe mit den Befehlen „Delete Shadows/All/Quiet“ ausgeführt wird.

Sehen wir uns nun den Entschlüsselungsvorgang etwas genauer an. SATANA Ransomware teilt die Inhalte der Dateien in Chunks von 32 Bytes und jeder Chunk wird separat verschlüsselt. Bevor die Verschlüsselung ausgeführt wird, bereitet diese Ransomware allerdings einen zufälligen Puffer vor. Der Generator der Lösegeldsumme verwendet RTDSC (Read Time-Stamp Counter). Seine Ausgabefunktion besteht aus dem vollständigen Schlüssel und dann wird der Inhalt dieses Puffers in ASCII konvertiert. Der Schlüssel generierende Vorgang findet nur ein einziges Mal statt, und der Inhalt dieses Puffers wird während der Dateiverschlüsselung verwendet. Die Datei-Chunks sind dann XOR mit den ersten 4 DWORDs des Zufalls-Puffers und an eine andere Ziffer weitergeleitet. Diese Ziffer ist eine AES-256-Bit-Ziffer im ECB-Modus. Die Ziffer verarbeitet die gleichen 4 WORDs, die mit dem Zufallsschlüssel erstellt wurden, welcher am Anfang generiert wurde. Sobald all diese Vorgänge abgeschlossen sind, wird die SATANA Ransomware aktiv und verschlüsselt die Dateien.

Jetzt also kennen Sie die inneren Prozesse dieser bestimmten Ransowmware. Natürlich könnten wir den Verschlüsselungsvorgang erweitern, doch jetzt wissen Sie, wie und warum diese Ransomware eingerichtet wurde, um Ihren Computer zu infizieren. Wenn Sie sie manuell entfernen möchten, versuchen Sie, die unten stehenden Anweisungen zu verwenden, doch sollte die Entfernung nicht wie geplant laufen, verwenden Sie SpyHunter, da dieser in der Lage ist, die ausführbare SATANA-Datei zu erkennen.

Manuelle Entfernungsanleitung

  1. Drücken Sie die Tasten Windows+E auf Ihrer Tastatur.
  2. Geben Sie %TEMP% in die Adressleiste ein und drücken Sie Enter.
  3. Im Temp-Ordner suchen Sie die ausführbare Datei der Ransomware.
  4. Rechts klicken Sie darauf und klicken Sie auf Löschen.
  5. Entleeren Sie den Papierkorb.
  6. Fertig.

Antwort schreiben