全新“撒旦”Satan勒索病毒来袭瑞星独家提供解密工具 bbs.ikaka.com

麦青儿 - 2018-7-20 14:35:00

近日，瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事件。

据瑞星安全研究人员介绍，该病毒运行后会加密受害者计算机文件，加密完成后会用中英韩三国语言索取1个比特币作为赎金，并威胁三天内不支付将不予解密。

与以往常见的勒索病毒不同，“撒旦”不仅会对感染病毒的电脑下手，同时病毒还会利用多个漏洞继续攻击其它电脑。
目前，瑞星公司已开发出独家解密工具，如果用户电脑中的文件已被“撒旦”病毒加密，可尝试下载解密。
（下载地址：http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe）

图：感染“撒旦”病毒后弹出的勒索窗口

瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了分析，发现该病毒与以往勒索病毒有较大的不同，“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击，还增加了其它的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

虽然永恒之蓝已经过去很久，但是国内很多用户出于各种原因依然没有打补丁，这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播，所以不下载可疑程序并不能防止感染病毒，如果不打补丁，即使没有任何操作只要联网就有可能被攻击，因此及时更新补丁，排查web漏洞，提高服务器安全才能最大限度的防御此类病毒。

麦青儿 - 2018-7-20 14:35:00

防范措施

➢ 更新永恒之蓝漏洞补丁。
➢ 及时更新web漏洞补丁，升级web组件。
➢ 开启防火墙关闭445端口。
➢ 安装杀毒软件保持监控开启。
➢ 安装瑞星之剑勒索防御软件。

由于“撒旦”Satan勒索病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。

目前，瑞星已经开发出了解密工具，如果用户中了此病毒可下载此工具恢复被加密文件，下载地址：http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。

314698711@qq.com - 2018-7-20 15:09:00

:kaka12: 给力

麦青儿 - 2018-7-20 15:11:00

解密工具使用方法

1、查看勒索信息是否和报告中的相同。

2、判断被加密文件名是否为[dbger@protonmail.com]+原始文件名+.dbger，或者[satan_pro@mail.ru]+原始文件名+.satan。

3、运行解密工具

4、匹配密钥，因为该勒索病毒变种较多，不同样本内置密钥可能不同，所以新版中新增匹配密钥功能，通过指定一个具有固定格式的文件，解密工具尝试用收集到的密钥去解密，如果解密成功，说明受害者机器上的勒索变种使用该密钥加密，以后在解密所有文件的过程中使用该密钥。特殊的文件格式支持：PDF、Rar、Zip、PNG、Doc/Docx、Xls/Xlsx、Ppt/Pptx

5、如果密钥匹配成功，受害者机器上被加密的文件能够正常解密，指定要解密的文件夹路径，点击解密，该文件加下所有加密后的文件即可以正常解密出来。

可以看到同目录下生成了被解密的文件，但是加密的文件将会被保留，用户查看确定文件被完全解密后，可删除被加密文件。在不确定解密文件是否正确的情况下，不要轻易删除被加密文件，防止其它类型病毒变种加密的文件没有被解密。

6、如果没有指定格式的加密文件或使用指定格式的加密文件测试后没有匹配到正确解密密钥，则受害者机器上被加密的文件可能不能够正确恢复，用户可以尝试使用默认的密钥进行解密，解密出来的文件可能不正确，但用户原始的加密文件不会损坏。

7、目前最新版本可以解密，如遇到此病毒的其它变种无法解密，可联系瑞星公司。

病毒详细分析
请见：http://it.rising.com.cn/dongtai/19385.html

baohe - 2018-7-20 15:11:00

这是棒子家的产物吧:kaka12:

麦青儿 - 2018-7-20 15:29:00

引用:

原帖由 314698711@qq.com 于 2018-7-20 15:09:00 发表
:kaka12: 给力

手快:kaka12:

麦青儿 - 2018-7-20 15:31:00

引用:

原帖由 baohe 于 2018-7-20 15:11:00 发表
这是棒子家的产物吧:kaka12:

不确定啊。暗网上有卖服务的，这个勒索病毒可以定制配置文件，只要花钱都可以搞一整套 :kaka6:

dg1vg4 - 2018-7-20 16:32:00

能设计成自动扫描全盘文件么？
还有，有加入No More Ransom的打算么？
https://www.nomoreransom.org/zh/index.html

nb2018 - 2018-7-23 11:10:00

office之类可以解，数据库解不了20G的解出来8K

nb2018 - 2018-7-23 11:12:00

orcle

麦青儿 - 2018-7-23 11:24:00

20G:kaka6: 加我QQ 489120014吧，给你传个工具再试一下。
如果还不行，需要把你的待解密文件离线发过来了。

nb2018 - 2018-7-23 14:32:00

大哥+我Q或发我Q邮4五9八0六二六五@qq.com

麦青儿 - 2018-7-23 15:58:00

引用:

原帖由 dg1vg4 于 2018-7-20 16:32:00 发表
能设计成自动扫描全盘文件么？
还有，有加入No More Ransom的打算么？
https://www.nomoreransom.org/zh/index.html

自动扫描全盘文件，如果反馈人多的话会考虑加上:kaka1:
No More Ransom目前还没计划，也不知道怎么操作

麦青儿 - 2018-7-23 15:59:00

加你了，请收邮件

sleepn - 2018-7-24 18:23:00

我一个70G的数据库文件，恢复完后只剩400M了，而且打开是空白的，:kaka4:这种问题怎么办

麦青儿 - 2018-7-25 10:26:00

加Q说吧，489120014

麦青儿 - 2018-7-25 13:32:00

各位，“撒旦”Satan勒索病毒解密工具已更新，请从 http://it.rising.com.cn/dongtai/19385.html 下载使用:kaka1:

注意：如果是服务器中了这个，服务器上肯定有漏洞或弱口令之类的，解密完了要修复漏洞，该打补丁都打上，不然后期可能还会被搞

dongwenqi850604 - 2018-11-17 21:22:00

支持瑞星

麦青儿 - 2018-11-20 18:38:00

谢谢您的支持！:kaka1: 用户支持是我们发展的最大动力

dongwenqi850604 - 2018-11-24 16:49:00

感谢瑞星写得文章，加强防范

瑞星卡卡安全论坛