42

Nowy ransomware atakuje użytkowników – zróbcie kopie zapasowe!

Końcówka tygodnia należy do drużyny MalwareHunterTeam, która zidentyfikowała i wyczerpująco opisała zupełnie nowe i bardzo niebezpieczne zagrożenie wycelowane w użytkowników komputerów z Windows. Saturn, bo tak je nazwano po infekcji szyfruje pliki użytkownika i życzy sobie okupu za ich odblokowanie.

Jak podaje BleepingComputer, poszukiwane są jakiekolwiek słabości ransomware Saturn i niestety, przynajmniej na razie nie udało się znaleźć żadnych błędów cyberprzestępców, które pozwoliłyby na odwrócenie procesu szyfrowania plików na komputerach ofiar. Aktualny stan prac nad tą kwestią można sprawdzić tutaj – jeżeli jesteście w stanie pomóc, możecie czuć się szczególnie zaproszeni do tego wątku.

Jak wykazuje MalwareHunterTeam, obecnie trwa proces aktywnego rozprzestrzeniania zagrożenia. Nie wiadomo jednak w jaki dokładnie sposób jest ono dystrybuowane – do czasu jednoznacznego określenia wiodącego sposobu propagacji Saturna należy uważać właściwie na wszystko – od podejrzanych załączników w mailach aż po niezaktualizowane i niezabezpieczone komputery z Windows na pokładzie. Warto również zrobić kopię zapasową danych z komputera na wypadek, gdybyśmy coś przeoczyli.

Proces szyfrowania plików przez ransomware Saturn

Po wniknięciu do komputera potencjalnej jeszcze ofiary, Saturn sprawdza czy znajduje się w środowisku wirtualnym (tj. czy został uruchomiony na maszynie wirtualnej). Jeżeli tak, nie podejmie żadnych dalszych kroków – ma to na celu głównie zabezpieczenie zagrożenia przed badaniami ekspertów. Jeżeli jednak maszyna wirtualna nie zostanie wykryta, zostanie wyłączona usługa samonaprawy Windows, oraz wyczyszczony zostanie cały katalog z kopiami zapasowymi.

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

saturn ransomware

Po tej operacji dysk jest skanowany w poszukiwaniu plików zdatnych do zaszyfrowania – są to określone typy:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11, veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

Wszystkie zaszyfrowane pliki opatrzone są dodatkowo rozszerzeniem „.saturn”. Dodatkowo, tworzone są nowe, które dotyczą komunikatów związanych z obwieszczeniem zaszyfrowania plików i instrukcjami zawierającymi wymagane operacje służące do odszyfrowania danych. Ponadto, znajduje się w nich link prowadzący do strony „su34pwhpcafeiztt.onion”.

Tam użytkownik jest proszony o wysłanie pliku zawierającego unikalny „klucz infekcji”, po czym dostarczane są mu informacje na temat okupu. Ten przez 7 dni wynosi 300 dolarów w BTC, po tym okresie kwota się podwaja.

Aktualizujcie systemy i róbcie kopie zapasowe

Do czasu znalezienia wiodącego sposobu propagacji Saturna nie można jednoznacznie określić, w jaki sposób można się zarazić tym ransomware. Warto jednak zadbać o to, by system operacyjny, a także inne programy, które mamy zainstalowane na komputerze zostały uaktualnione – to nam da gwarancję, że nie zostanie ku temu wykorzystana żadna poważna luka. Ponadto, należy wdrożyć zdroworozsądkowe działania – nie otwierać podejrzanych plików i nie klikać w wyglądające na złośliwe reklamy.