Cyberataki to jedna z kwestii, która przyprawia o ból głowy duże firmy technologiczne, które zapewniają bezpieczeństwo IT swoich użytkowników.
W ciągu ostatnich kilku miesięcy najwięcej słyszeliśmy o popularnych Spectre i Meltdown i słyszeliśmy wiele o tym, jak się przed nimi chronić. Dla giganta Microsoft bezpieczeństwo jest ważne i już wprowadził środki, aby odzyskać sprawność po ataku Ransomware, o którym już mówiliśmy w Solvetic:
Teraz, zgodnie z doniesieniami Bleeping Computer, ataki Ransomware powróciły po tym, jak dał nam mały rozejm. Saturn to nowe zagrożenie, które zostało dostrzeżone przez ekspertów ds. cyberbezpieczeństwa zarówno w komputerach osobistych, jak iw firmach. Nadal nie ma jasnych danych na temat tego, jak się rozprzestrzenia, ale jasne jest, że dodaje rozszerzenie do wszystkich plików, których dotyczy szyfrowanie, wraz z jego nazwą, dzięki czemu możemy je wykryć.
Czym jest Saturn i jak działa?
Czym jest SaturnSaturn to nowe oprogramowanie ransomware, które po uruchomieniu szyfruje wszystkie pliki i dokumenty użytkownika w systemie Windows, prosząc ich o okup za ich odzyskanie.
W niektórych przypadkach i w pierwszej kolejności to zagrożenie instaluje się w systemie i jest odpowiedzialne za sprawdzanie środowiska; Jednak w innych przypadkach nie pozostawiają śladu po swojej operacji, gdyż taką operację wykonują przed wykonaniem instalacji.
Najważniejsza jest analiza środowiska przeprowadzona przez Saturna przed podjęciem działania, ponieważ jeśli wykryje, że jest to maszyna wirtualna, zatrzyma aktywność. Ale poza tym Saturn zaczyna od modyfikacji Windows. Ponieważ raz zaszyfrowanych plików nie można odzyskać, jako środek ostrożności zaleca się wykonanie ostatnich kopii zapasowych systemu, aby móc zareagować, jeśli jesteśmy zaangażowani w tego typu atak.
Kiedy jest już za późno i jesteśmy dotknięci tego typu atakiem, kroki, które należy wykonać, aby go powstrzymać, będą następujące:
Jak działa Saturn krok po kroku
1. Oprócz wyłączenia katalogu kopii zapasowych systemu Windows i naprawy systemu Windows podczas uruchamiania usuwa wszystkie kopie zapasowe wykonane przez programy innych firm, dzięki czemu wszystkie opcje przywracania są wyłączone na komputerze za pomocą następującego polecenia:
cmd.exe / C vssadmin.exe delete shadows / all / quiet & wmic.exe shadowcopy delete & bcdedit / set {default} bootsstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled no & wbadmin usuń katalog -quiet2. Po tym zdarzeniu zaczyna szyfrować informacje, a pliki z następującymi rozszerzeniami są podatne:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, strony, wpd, wps, tekst, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadżet, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, kopia zapasowa, bak, ms11, ms11 (kopia bezpieczeństwa), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, portfel, dat, cfg, konfiguracjaNastępnie wszystkie uszkodzone pliki mają rozszerzenie .sarturn
3. Wreszcie w każdym zagrożonym folderze zagrożenie pozostawia te trzy pliki:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [identyfikator powiązany z komputerem, którego dotyczy problem] .KEY
Jak mogę uchronić się przed Saturnem?
Wciąż nie dysponujemy szeroką gamą narzędzi wykrywających ten atak, ponieważ jest to nowy.
Najlepszą ochroną w takich przypadkach jest zapobieganie, więc podjęcie tych działań zawsze byłoby dobrym pomysłem:
- Miej obrazy systemu na innych urządzeniach i twórz kopie zapasowe informacji rozmieszczonych blisko siebie, aby były jak najbardziej aktualne.
- Nie otwieraj załączników z podejrzanych lub nieznanych źródeł.
- Wykonuj aktualizacje systemu w systemie Windows za każdym razem, gdy pojawia się nowy
- Aktualizuj programy, zwłaszcza Java, Adobe Reader i Flash
- Nigdy nie używaj tego samego hasła na różnych stronach
