Malwarebytes trof een sample van de ransomware aan en vermoedt dat het een soort b├Ętaversie is waarbij de makers experimenteren met features. De malware probeert zich te installeren en activeert daarmee een User Account Control-popup net zolang tot een gebruiker toestemming geeft.

Het proces is vervolgens eenvoudig te debuggen, omdat alles open en bloot wordt gelogd. Nog een teken aan de wand dat deze versie nog niet af is, is dat het bitcoinadres wat het losgeldvenster toont ongeldig is.

Twee modi tegelijk

De malware richt zich verder op alle bestandsextensies die voor veel gebruikers belangrijk zijn, zoals doc's, odt's, jpg's, png's, enzovoorts. Satana versleutelt de Master Boot Record (MBR), zoals ransomware vandaag de dag vaak pleegt te doen. De beveiligingsdeskundigen melden dat het terugplaatsen van een volledige schijf-back-up de situatie herstelt.

Een tweede modus pakt individuele bestanden van de schijf en past encryptie toe om ze veilig te bewaren tot slachtoffers met losgeld over de brug komen. Volgens de onderzoekers gebruikt de meeste ransomware een van deze twee modi (MBR of bestanden versleutelen) maar pakt Satana het grondig aan en worden ze allebei toegepast.