一新發(fā)現(xiàn)的勒索軟件家族通過(guò)勒索軟件即服務(wù)(RaaS)商業(yè)模式提供，讓網(wǎng)絡(luò)罪犯?jìng)兊靡暂p松定制自己的惡意軟件。

該勒索軟件家族由安全研究員Xylitol發(fā)現(xiàn)，命名為“撒旦(Satan)”，由于只需創(chuàng)建賬號(hào)即可使用，任何有意的罪犯都能用。勒索收益僅需給作者抽成30%，讓該RaaS頗具吸引力。

事實(shí)上，該RaaS有意讓使用者不用投入太多精力，因?yàn)樗鼤?huì)處理贖金支付和新功能的添加。不過(guò)，成為會(huì)員得收點(diǎn)發(fā)行費(fèi)，但開發(fā)者宣稱，成功的案例會(huì)獎(jiǎng)勵(lì)更高的贖金支付提成。

“撒旦”RaaS站點(diǎn)的歡迎頁(yè)面上寫有該服務(wù)的說(shuō)明，注冊(cè)用戶能訪問一個(gè)控制臺(tái)，通過(guò)多個(gè)頁(yè)面設(shè)置他們自己的勒索軟件。這些設(shè)置頁(yè)面包括：惡意軟件、釋放器、翻譯、賬戶、通知和消息。

“惡意軟件”頁(yè)面上，屬意罪犯可自定義他們自己的勒索軟件：設(shè)定贖金數(shù)額、贖金保持不變的天數(shù)、過(guò)期增長(zhǎng)率。“釋放器”頁(yè)面輔助會(huì)員打造惡意微軟Word宏或CHM安裝程序，通過(guò)垃圾郵件或其他方式投送惡意軟件。

會(huì)員可在“翻譯”頁(yè)面擴(kuò)展用于勒索信的語(yǔ)言，在“賬戶”頁(yè)面跟蹤被感染受害者的數(shù)量、已支付數(shù)和其他信息。“通知”頁(yè)面用于顯示來(lái)自RaaS開發(fā)者的消息，而“消息”頁(yè)面則是為“客戶服務(wù)”請(qǐng)求所設(shè)。

“撒旦”運(yùn)營(yíng)者會(huì)專門要求會(huì)員不要與VirusTotal共享下載勒索軟件樣本，降低安全廠商遇到該變種的可能性。該服務(wù)目前在地下論壇上打廣告，惡意載荷和盈利模式都有介紹。

為規(guī)避分析，“撒旦”勒索軟件內(nèi)置了很多虛擬化檢查，只要覺得自身運(yùn)行在虛擬機(jī)里，立馬終止進(jìn)程。如果檢查通過(guò)，該惡意軟件會(huì)將自身注射進(jìn)TaskHost.exe進(jìn)程，然后開始加密被感染計(jì)算機(jī)上的文件。

該勒索軟件目前針對(duì)350多種文件類型，安全研究人員還在分析其加密算法。他們現(xiàn)在所知道的，是該惡意軟件會(huì)在被加密文件的文件名后添加上.stn后綴，而不是在編碼該文件名之前。

加密過(guò)程中，“撒旦”會(huì)在每個(gè)包含有被加密文件的文件夾中，釋放出一個(gè)名為“HELP_DECRYPT_FILES.html”的勒索信。加密完所有文件后，它會(huì)運(yùn)行cipher.exe程序，清除C盤上未使用空間的所有數(shù)據(jù)。

“撒旦”的勒索信包含有***的受害者ID和一條通向TOR匿名支付站點(diǎn)的URL，以及用戶恢復(fù)被加密文件應(yīng)遵循的指令。勒索信還宣稱使用了AES-256和RSA-2048加密算法，不過(guò)，這一點(diǎn)尚有待證實(shí)。