Összefoglaló
A MalwareHunterTeam felfedezett egy új zsaroló vírust, melyre ‘Saturn’-ként hivatkoznak, ugyanis a kártevő .saturn kiterjesztéssel látja el a titkosított fájlokat.
Leírás
Az eddigi információk szerint a vírust aktívan terjesztik, azonban a fertőzés metódusa nem ismert.
Tevékenység:
1) A káros kód először ellenőrzi, hogy virtuális környezetben fut-e és amennyiben ez beigazolódik, beszünteti a tevékenységét.
2) Törli az elérhető árnyékmásolatokat, kikapcsolja a Windows startup repair funkciót és törli a Windows Backup katalógust az alábbi parancsokkal:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
3) Ezt követően titkosítja az alábbi kiterjesztéssel bíró állományokat:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
4) A zsaroló üzenetet az alábbi fájlokban helyezi el:
#DECRYPT_MY_FILES#.html
#DECRYPT_MY_FILES#.txt
Egy kulcs fájlt is létrehoz, amely a támadók TOR hálózaton keresztül elérhető oldalára (su34pwhpcafeiztt.onion) való bejelentkezésre szolgál:
#KEY-[id].KEY
A váltságdíj jelenleg 300 USD, azonban a zsaroló üzenet szerint ez 7 naponta duplázódik.
Indikátorok:
- hash: 9e87f069de22ceac029a4ac56e6305d2df54227e6b0f0b3ecad52a01fbade021
- fájlok:
- #DECRYPT_MY_FILES#.txt
#DECRYPT_MY_FILES#.vbs
#DECRYPT_MY_FILES.BMP
#KEY-[id].KEY
- #DECRYPT_MY_FILES#.txt
Váltságdíj üzenet:
S A T U R N All of your files have been encrypted! To Decrypt your files follow these steps: #---------------------------------------------# 1. Download and install the "Tor Browser" from ht tps://w ww.torproject .org 2. Run it. 3. In the Tor Browser, open website: http://su34pwhpcafeiztt.onion 4. Follow the instructions on the page #---------------------------------------------#
Megoldás
Jelenleg nem érhető el dekriptor a fájlok visszakódolásához, ezért a megelőzés és a biztonságtudatos magatartás a leghatékonyabb védekezési lehetőség. A váltságdíj kifizetése nem javasolt, mivel nincs garancia arra, hogy azt követően valóban megtörténik a fájlok visszaállítása.
Ennek érdekében:
- Mindig telepítse az operációs rendszer és antivírus program frissítéseit.
- Készítsen rendszeresen biztonsági mentést adatairól, melyeket tároljon offline módon.
- Egyes védelmi szoftverek rendelkeznek olyan viselkedési minta felismerési képességekkel, amelyek több zsarolóvírus futását megakadályozhatják.
- Korlátozza az RDP kapcsolatokat, amennyiben nem okvetlenül szükséges azok használata.
- Amennyiben mégis szükséges távoli asztal elérést biztosítani egyes számítógépekhez, ezeket tegye csak VPN-en keresztül elérhetővé.
- Minden account (de különösen az admin jogosultsági szintűek) esetében használjon erős jelszavakat és időközönként cserélje azokat.
- Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben.
- A csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve is.
- Amennyiben mégis bekövetkezik a fertőzés és nem rendelkezett backuppal, célszerű mentést készíteni a titkosított fájlokról. Az aktuálisan elérhető dekriptorok listáját a NoMoreRansom projekt weboldalán találja: https://www.nomoreransom.org/hu/index.html
Támadás típusa
RansomwareHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.bleepingcomputer.com
Egyéb referencia: twitter.com