Rivadavia 520 Galeria Cristal 1º Piso-Local 6 - Pico Truncado |    0297 154134189

Un nuevo ransomware fue descubierto esta semana por MalwareHunterTeam  llamado Saturno. Este ransomware encriptará los archivos en una computadora y luego agregará la extensión .saturn al nombre del archivo. El Saturn Ransomware se está distribuyendo activamente, pero en este momento no se sabe qué métodos de distribución se están utilizando.

Desafortunadamente, este ransomware no se puede descifrar en este momento, pero actualmente se está investigando en busca de debilidades.

Cuando Saturn Ransomware está instalado, verificará si la víctima se está ejecutando en un entorno virtual. Si detecta que se está ejecutando en una máquina virtual, saldrá del proceso.

Si no detecta una máquina virtual, Saturno ejecutará los siguientes comandos para eliminar copias de volúmenes ocultos, desactivar la reparación de inicio de Windows y borrar el catálogo de copias de seguridad de Windows.

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy
ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Después de ejecutar esos comandos, escaneará la computadora en busca de ciertos tipos de archivos y los encriptará. Los tipos de archivos encriptados por Saturn Ransomware son:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml,
odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget,
torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj,
prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat,
cfg, config

Al encriptar archivos, agregará la extensión .saturn al nombre del archivo encriptado.

Por ejemplo, un archivo llamado test.jpg sería encriptado y luego renombrado como test.jpg.saturn.

Mientras encripta la computadora, Saturn Ransomware arrojará notas de rescate llamadas # DECRYPT_MY_FILES # .html y  # DECRYPT_MY_FILES # .txt y un archivo de clave llamado # KEY- [id] .KEY en cada carpeta que encripte un archivo. El archivo de clave se utiliza para iniciar sesión en el sitio de rescate de TOR, mientras que la nota de rescate contiene información breve sobre lo que ha sucedido con los archivos de las víctimas y un enlace al sitio de pago de TOR en su34pwhpcafeiztt.onion.

El ransomware también arrojará un archivo # DECRYPT_MY_FILES # .vbs que provoca que el habla provenga de la computadora infectada. Finalmente, establece su fondo de escritorio de Windows en # DECRYPT_MY_FILES.BMP.


Cómo protegerse de Saturn Ransomware

Para protegerse del ransomware en general, es importante que use buenos hábitos informáticos y software de seguridad. En primer lugar, siempre debe tener una copia de seguridad confiable y probada de sus datos que se puede restaurar en caso de una emergencia, como un ataque de ransomware.

Si está utilizando un escritorio remoto, es particularmente importante que no tenga ningún equipo que ejecute servicios de escritorio remoto conectados directamente a Internet. En su lugar, coloque las computadoras que ejecutan el escritorio remoto detrás de las VPN para que solo puedan acceder a ellas quienes tengan cuentas VPN en su red.

También debe tener un software de seguridad que incorpore detecciones de comportamiento para combatir el ransomware y no solo detecciones de firmas o heurística. Por ejemplo,  Emsisoft Anti-Malware  y  Malwarebytes Anti-Malware  contienen detección de comportamiento que puede evitar que muchas, si no la mayoría, las infecciones de ransomware encripten una computadora.

Por último, pero no menos importante, asegúrese de practicar los siguientes hábitos de seguridad, que en muchos casos son los pasos más importantes de todos:

  • Respaldo, Respaldo, Respaldo!
  • No abra archivos adjuntos si no sabe quién los envió.
  • No abra archivos adjuntos hasta que confirme que la persona realmente los envió,
  • Escanee archivos adjuntos con herramientas como  VirusTotal .
  • ¡Asegúrese de que todas las actualizaciones de Windows estén instaladas tan pronto como salgan! También asegúrese de actualizar todos los programas, especialmente Java, Flash y Adobe Reader. Los programas antiguos contienen vulnerabilidades de seguridad que los distribuidores de malware suelen explotar. Por lo tanto, es importante mantenerlos actualizados.
  • Asegúrese de utilizar algún tipo de software de seguridad instalado que use detecciones de comportamiento o tecnología de lista blanca. El listado en blanco puede ser difícil de entrenar, pero si estás dispuesto a comprarlo, podrías obtener los mayores dividendos.
  • Use contraseñas fijas y nunca reutilice la misma contraseña en múltiples sitios.

Fuente: bleepingcomputer

 

 

Dejanos tu comentario

Por favor ingrese su nombre. Por favor ingrese un email valido. Por favor ingrese su comentario.