Conoce el nuevo ataque Ransomware con nombre de planeta: Saturn
Los ciberataques es uno de los temas que más quebraderos de cabeza dan a las grandes empresas tecnológicas, que velan por la seguridad IT de sus usuarios.
Durante los últimos meses de los que más hemos escuchado hablar han sido de los populares Spectre y Meltdown y mucho hemos escuchado de cómo protegernos de ellos. Para el gigante Microsoft la seguridad es importante y ya puso medidas para recuperarnos de un ataque de Ransomware que ya os contamos en Solvetic:
Ahora, y según informan desde Bleeping Computer los ataques Ransomware han vuelto después de darnos una pequeña tregua. Saturn es la nueva amenaza que ha sido hayada por expertos en ciberseguridad tanto en equipos de particulares como en empresas. Todavía no existen datos claros sobre cómo se difunde, pero lo que si está claro es que añade una extensión a todos los archivos afectados por su cifrado con su nombre y así podemos detectarlos.
En algunos casos y en primer lugar esta amenaza se instala en el sistema y se encarga de comprobar el entorno; pero sin embargo en otros casos no dejan rastro de su funcionamiento ya que realizan este tipo de operaciones antes de ejecutar su instalación.
Lo más importante es el análisis del entorno que realiza Saturn antes de actuar, ya que si detecta que se trata de una máquina virtual se encarga de parar la actividad. Pero en el caso contrario Saturn comienza con la modificación de Windows. Como los archivos una vez cifrados no pueden recuperarse, se recomienda por precaución realizar copias de seguridad recientes del sistema para poder reaccionar si nos vemos involucrados en este tipo de ataque.
Cuando ya es demasiado tarde y nos vemos afectado por este tipo de ataque los pasos a seguir para detenerlo serán los siguientes:
1. Borra todas las copias de seguridad realizadas por programas de terceros además de desactivar el catálogo de copias de seguridad de Windows y la reparación de Windows en el inicio para que en el equipo se desactiven todas las opciones de restauración utilizando el siguiente comando:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet2. Tras este suceso comienza a cifrar la información, siendo susceptibles los archivos con las extensiones siguientes:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, configTras esto, todos los archivos dañados presentan la extensión .sarturn
3. Por último, en cada carpeta afectada, la amenaza deja estos tres archivos:
- #DECRYPT_MY_FILES#.html
- #DECRYPT_MY_FILES#.txt
- #KEY-[id asociada al equipo afectado].KEY
Todavía no disponemos de un gran abanico de herramientas que detecten este ataque debido a que se trata de uno nuevo.
La mejor protección en estos casos es la prevención, así que realizar estas acciones sería siempre una buena idea:
- Tener imágenes del sistema en otros dispositivos y realizar copias de seguridad de la información poco espaciadas entre si para que estén lo más actualizadas posibles.
- No abrir archivos adjuntos de procedencia sospechosa o de desconocidos.
- Realizar las actualizaciones del sistema en Windows cada vez que haya una nueva
- Actualizar los programas, especialmente Java, Adobe Reader y Flash
- Nunca utilizar la misma contraseña en distintos sitios