Saturn - nowy ransomware na Windows

[al]

MalwareHunterTeam wykryli nowy ransomware atakujący użytkowników Windowsa.

Zaloguj lub Zarejestruj się aby zobaczyć!

Jak podaje

Zaloguj lub Zarejestruj się aby zobaczyć!

, poszukiwane są jakiekolwiek słabości ransomware Saturn i niestety, przynajmniej na razie nie udało się znaleźć żadnych błędów cyberprzestępców, które pozwoliłyby na odwrócenie procesu szyfrowania plików na komputerach ofiar. Aktualny stan prac nad tą kwestią można

Zaloguj lub Zarejestruj się aby zobaczyć!

– jeżeli jesteście w stanie pomóc, możecie czuć się szczególnie zaproszeni do tego wątku.

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!

Jak wykazuje

Zaloguj lub Zarejestruj się aby zobaczyć!

, obecnie trwa proces aktywnego rozprzestrzeniania zagrożenia. Nie wiadomo jednak w jaki dokładnie sposób jest ono dystrybuowane – do czasu jednoznacznego określenia wiodącego sposobu propagacji Saturna należy uważać właściwie na wszystko – od podejrzanych załączników w mailach aż po niezaktualizowane i niezabezpieczone komputery z Windows na pokładzie. Warto również zrobić kopię zapasową danych z komputera na wypadek, gdybyśmy coś przeoczyli.

Po wniknięciu do komputera potencjalnej jeszcze ofiary, Saturn sprawdza czy znajduje się w środowisku wirtualnym (tj. czy został uruchomiony na maszynie wirtualnej). Jeżeli tak, nie podejmie żadnych dalszych kroków – ma to na celu głównie zabezpieczenie zagrożenia przed badaniami ekspertów. Jeżeli jednak maszyna wirtualna nie zostanie wykryta, zostanie wyłączona usługa samonaprawy

Zaloguj lub Zarejestruj się aby zobaczyć!

, oraz wyczyszczony zostanie cały katalog z kopiami zapasowymi.

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Po tej operacji dysk jest skanowany w poszukiwaniu plików zdatnych do zaszyfrowania – są to określone typy:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11, veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

Wszystkie zaszyfrowane pliki opatrzone są dodatkowo rozszerzeniem „.saturn”. Dodatkowo, tworzone są nowe, które dotyczą komunikatów związanych z obwieszczeniem zaszyfrowania plików i instrukcjami zawierającymi wymagane operacje służące do odszyfrowania danych. Ponadto, znajduje się w nich link prowadzący do strony „su34pwhpcafeiztt.onion”.

Tam użytkownik jest proszony o wysłanie pliku zawierającego unikalny „klucz infekcji”, po czym dostarczane są mu informacje na temat okupu. Ten przez 7 dni wynosi 300 dolarów w

Zaloguj lub Zarejestruj się aby zobaczyć!

, po tym okresie kwota się podwaja.

Zaloguj lub Zarejestruj się aby zobaczyć!