Kibernetički napadi jedno su od pitanja koja zadaju više glavobolja velikim tehnološkim tvrtkama, a koje svojim korisnicima osiguravaju IT sigurnost.
Posljednjih nekoliko mjeseci najviše smo čuli o popularnim Spectre -u i Meltdown -u i čuli smo mnogo o tome kako se zaštititi od njih. Za golemog Microsofta sigurnost je važna i već je poduzela mjere za oporavak od napada Ransomware -a za koji smo vam već rekli u Solveticu:
Sada, i prema izvješćima iz Bleeping Computer, napadi Ransomware -a su se vratili nakon što su nam dali malo primirje. Saturn je nova prijetnja koju su vidjeli stručnjaci za kibernetičku sigurnost i na osobnim računalima i u tvrtkama. Još uvijek nema jasnih podataka o tome kako se širi, ali jasno je da dodaje proširenje svim datotekama na koje je šifriranje utjecalo s njegovim imenom, pa ih možemo otkriti.
Što je Saturn i kako funkcionira?
Što je SaturnSaturn je novi Ransomware koji, kada se pokrene, šifrira sve datoteke i dokumente korisnika u sustavu Windows, tražeći od njih otkupninu za oporavak.
U nekim slučajevima i na prvom mjestu ta se prijetnja instalira u sustav i zadužena je za provjeru okruženja; Međutim, u drugim slučajevima ne ostavljaju trag svog rada budući da izvode ovu vrstu operacije prije izvođenja instalacije.
Najvažnija je analiza okruženja koju je Saturn proveo prije djelovanja, jer će, ako otkrije da se radi o virtualnom stroju, zaustaviti aktivnost. No, u protivnom Saturn počinje s izmjenama sustava Windows. Budući da se datoteke jednom šifrirane ne mogu oporaviti, preporučuje se kao mjera opreza napraviti nedavne sigurnosne kopije sustava kako bi mogle reagirati ako smo uključeni u ovu vrstu napada.
Kad je prekasno i ako smo pogođeni ovom vrstom napada, koraci koje trebamo poduzeti da bismo ga zaustavili bit će sljedeći:
Kako Saturn radi korak po korak
1. Briše sve sigurnosne kopije koje su napravili programi trećih strana uz onemogućavanje kataloga sigurnosnih kopija sustava Windows i popravak sustava Windows pri pokretanju tako da su sve mogućnosti vraćanja onemogućene na računalu pomoću sljedeće naredbe:
cmd.exe / C vssadmin.exe brisanje sjena / sve / tiho & wmic.exe sjenakopiranje brisanje & bcdedit / postavljanje {zadano} bootstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled no & wbadmin delete catalog -quiet2. Nakon ovog događaja počinje šifriranje podataka, pri čemu su datoteke sa sljedećim proširenjima osjetljive:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, stranice, wpd, wps, tekst, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, sigurnosna kopija, bak, ms11, ms11 (sigurnosna kopija), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, novčanik, dat, cfg, configNakon toga sve oštećene datoteke imaju nastavak .sarturn
3. Konačno, u svakoj zahvaćenoj mapi prijetnja napušta ove tri datoteke:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [id povezan sa zahvaćenim računalom] .KEY
Kako se mogu zaštititi od Saturna?
Još uvijek nemamo širok raspon alata koji otkrivaju ovaj napad jer je novi.
Najbolja zaštita u tim slučajevima je prevencija, pa bi poduzimanje ovih radnji uvijek bila dobra ideja:
- Postavite slike sustava na druge uređaje i napravite sigurnosne kopije podataka blisko razmaknutih tako da budu što ažuriraniji.
- Ne otvarajte privitke iz sumnjivih ili nepoznatih izvora.
- Izvršite ažuriranje sustava u sustavu Windows svaki put kad se pojavi novo
- Ažurirajte programe, osobito Javu, Adobe Reader i Flash
- Nikada nemojte koristiti istu lozinku na različitim web stranicama
