Кибератаките са един от проблемите, които причиняват повече главоболия на големите технологични компании, които гарантират ИТ сигурността на своите потребители.
През последните няколко месеца чухме най -много за популярните Spectre и Meltdown и сме чували много за това как да се предпазим от тях. За гигантския Microsoft сигурността е важна и тя вече е взела мерки за възстановяване от атака срещу Ransomware, за която вече ви казахме в Solvetic:
Сега и според доклади от Bleeping Computer, атаките срещу Ransomware са се върнали, след като ни дадоха малко примирие. Сатурн е новата заплаха, видяна от експертите по киберсигурност както в персоналните компютри, така и в компаниите. Все още няма ясни данни за това как се разпространява, но ясно е, че той добавя разширение към всички файлове, засегнати от неговото криптиране с неговото име и по този начин можем да ги открием.
Какво е Сатурн и как работи?
Какво е СатурнSaturn е новият Ransomware, който при стартиране криптира всички файлове и документи на потребителя в Windows, като ги моли за откуп за възстановяването им.
В някои случаи и на първо място тази заплаха се инсталира в системата и отговаря за проверката на околната среда; В други случаи обаче те не оставят следа от работата си, тъй като извършват този тип операции, преди да изпълнят инсталацията си.
Най -важното нещо е анализът на средата, извършен от Сатурн преди действие, тъй като, ако установи, че е виртуална машина, той ще спре дейността. Но в противен случай Сатурн започва с промяна на Windows. Тъй като веднъж шифрованите файлове не могат да бъдат възстановени, се препоръчва като предпазна мярка да се направят последните архивни копия на системата, за да могат да реагират, ако участваме в този тип атака.
Когато е твърде късно и ние сме засегнати от този тип атака, стъпките, които трябва да изпълните, за да я спрете, ще бъдат следните:
Как работи Сатурн стъпка по стъпка
1. Изтрива всички архиви, направени от програми на трети страни, в допълнение към деактивирането на каталога за архивиране на Windows и възстановяването на Windows при стартиране, така че всички опции за възстановяване са деактивирани на компютъра чрез следната команда:
cmd.exe / C vssadmin.exe изтриване на сенки / all / quiet & wmic.exe shadowcopy изтриване & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit / set {default} възстановяване активирано no & wbadmin изтриване на каталог -quiet2. След това събитие той започва да криптира информацията, като файловете със следните разширения са податливи:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, страници, wpd, wps, текст, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, притурка, торент, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, архивиране, bak, ms11, ms11 (защитно копие), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, configСлед това всички повредени файлове имат разширение .sarturn
3. И накрая, във всяка засегната папка заплахата оставя тези три файла:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [идентификатор, свързан със засегнатия компютър] .KEY
Как мога да се предпазя от Сатурн?
Все още нямаме широка гама от инструменти, които откриват тази атака, защото тя е нова.
Най -добрата защита в тези случаи е превенцията, така че предприемането на тези действия винаги би било добра идея:
- Разполагайте системни изображения на други устройства и правете резервни копия на информацията, разположени на разстояние, така че да са възможно най-актуални.
- Не отваряйте прикачени файлове от подозрителни или неизвестни източници.
- Извършвайте системни актуализации в Windows всеки път, когато има нова
- Актуализирайте програми, особено Java, Adobe Reader и Flash
- Никога не използвайте една и съща парола на различни сайтове
