Cargando

Seguridad

Conoce el nuevo ataque Ransomware con nombre de planeta: Saturn

Saturn es el nombre del nuevo ransomware que está haciendo de las suyas. Si quieres saber cómo actúa y cómo protegerte de él, no te pierdas este post.

Escrito por Noemi Rodriguez feb 19 2018 11:17

Los ciberataques es uno de los temas que más quebraderos de cabeza dan a las grandes empresas tecnológicas, que velan por la seguridad IT de sus usuarios.

 

Durante los últimos meses de los que más hemos escuchado hablar han sido de los populares Spectre y Meltdown y mucho hemos escuchado de cómo protegernos de ellos. Para el gigante Microsoft la seguridad es importante y ya puso medidas para recuperarnos de un ataque de Ransomware que ya os contamos en Solvetic:

 

Una nueva característica que se implementará proximamente permitirá restaurar y recuperar archivos borrados y encriptados por este tipo de ataques. Lee si quieres saber más.

 

Ahora, y según informan desde Bleeping Computer los ataques Ransomware han vuelto después de darnos una pequeña tregua. Saturn es la nueva amenaza que ha sido hayada por expertos en ciberseguridad tanto en equipos de particulares como en empresas. Todavía no existen datos claros sobre cómo se difunde, pero lo que si está claro es que añade una extensión a todos los archivos afectados por su cifrado con su nombre y así podemos detectarlos.

 

 

¿Qué es y cómo funciona Saturn?

Imagen adjunta: danger-2.png

 

Qué es Saturn
Saturn es el nuevo Ransomware que cuando se ejecuta encripta todos los archivos y documentos del usuario en Windows pidiendo a éstos un rescate para la recuperación de los mismos.

 

En algunos casos y en primer lugar esta amenaza se instala en el sistema y se encarga de comprobar el entorno; pero sin embargo en otros casos no dejan rastro de su funcionamiento ya que realizan este tipo de operaciones antes de ejecutar su instalación.

 

Lo más importante es el análisis del entorno que realiza Saturn antes de actuar, ya que si detecta que se trata de una máquina virtual se encarga de parar la actividad. Pero en el caso contrario Saturn comienza con la modificación de Windows. Como los archivos una vez cifrados no pueden recuperarse, se recomienda por precaución realizar copias de seguridad recientes del sistema para poder reaccionar si nos vemos involucrados en este tipo de ataque.

 

Cuando ya es demasiado tarde y nos vemos afectado por este tipo de ataque los pasos a seguir para detenerlo serán los siguientes:

 

Cómo actua Saturn paso a paso

 

1. Borra todas las copias de seguridad realizadas por programas de terceros además de desactivar el catálogo de copias de seguridad de Windows y la reparación de Windows en el inicio para que en el equipo se desactiven todas las opciones de restauración utilizando el siguiente comando:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
2. Tras este suceso comienza a cifrar la información, siendo susceptibles los archivos con las extensiones siguientes:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
Tras esto, todos los archivos dañados presentan la extensión .sarturn

 

 

Imagen adjunta: archivos-encriptados-.saturn.png

 

3. Por último, en cada carpeta afectada, la amenaza deja estos tres archivos:

  • #DECRYPT_MY_FILES#.html
  • #DECRYPT_MY_FILES#.txt
  • #KEY-[id asociada al equipo afectado].KEY
A través del último se permite realizar el pago de la cantidad demandada para poder recuperar la información secuestrada por Saturn.

 

 

¿Cómo puedo protegerme de Saturn?

Imagen adjunta: protected.png

 

Todavía no disponemos de un gran abanico de herramientas que detecten este ataque debido a que se trata de uno nuevo.

 

Imagen adjunta: documentos-encriptados-por-saturn.png

 

La mejor protección en estos casos es la prevención, así que realizar estas acciones sería siempre una buena idea:

  • Tener imágenes del sistema en otros dispositivos y realizar copias de seguridad de la información poco espaciadas entre si para que estén lo más actualizadas posibles.
  • No abrir archivos adjuntos de procedencia sospechosa o de desconocidos.
  • Realizar las actualizaciones del sistema en Windows cada vez que haya una nueva
  • Actualizar los programas, especialmente Java, Adobe Reader y Flash
  • Nunca utilizar la misma contraseña en distintos sitios

Ver Comentarios (0) Escribir comentario