Saturn zsarolóvírus

CH azonosító

CH-14370

Angol cím

Saturn ransomware

Felfedezés dátuma

2018.02.20.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A MalwareHunterTeam felfedezett egy új zsaroló vírust, melyre ‘Saturn’-ként hivatkoznak, ugyanis a kártevő .saturn kiterjesztéssel látja el a titkosított fájlokat.

Leírás

Az eddigi információk szerint a vírust aktívan terjesztik, azonban a fertőzés metódusa nem ismert.

Tevékenység:

1) A káros kód először ellenőrzi, hogy virtuális környezetben fut-e és amennyiben ez beigazolódik, beszünteti a tevékenységét. 

2) Törli az elérhető árnyékmásolatokat, kikapcsolja a Windows startup repair funkciót és törli a Windows Backup katalógust az alábbi parancsokkal:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

3) Ezt követően titkosítja az alábbi kiterjesztéssel bíró állományokat:

xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

4) A zsaroló üzenetet az alábbi fájlokban helyezi el:

#DECRYPT_MY_FILES#.html

#DECRYPT_MY_FILES#.txt

Egy kulcs fájlt is létrehoz, amely a támadók TOR hálózaton keresztül elérhető oldalára (su34pwhpcafeiztt.onion) való bejelentkezésre szolgál:

#KEY-[id].KEY 

A váltságdíj jelenleg 300 USD, azonban a zsaroló üzenet szerint ez 7 naponta duplázódik.

Indikátorok:

  • hash: 9e87f069de22ceac029a4ac56e6305d2df54227e6b0f0b3ecad52a01fbade021
  • fájlok:
    • #DECRYPT_MY_FILES#.txt
      #DECRYPT_MY_FILES#.vbs
      #DECRYPT_MY_FILES.BMP
      #KEY-[id].KEY

Váltságdíj üzenet:

S A T U R N

All of your files have been encrypted!
To Decrypt your files follow these steps:

#---------------------------------------------#
1. Download and install the "Tor Browser" from ht tps://w ww.torproject .org

2. Run it.

3. In the Tor Browser, open website:
   http://su34pwhpcafeiztt.onion

4. Follow the instructions on the page
#---------------------------------------------#

Megoldás

Jelenleg nem érhető el dekriptor a fájlok visszakódolásához, ezért a megelőzés és a biztonságtudatos magatartás a leghatékonyabb védekezési lehetőség. A váltságdíj kifizetése nem javasolt, mivel nincs garancia arra, hogy azt követően valóban megtörténik a fájlok visszaállítása.

Ennek érdekében:

  • Mindig telepítse az operációs rendszer és antivírus program frissítéseit.
  • Készítsen rendszeresen biztonsági mentést adatairól, melyeket tároljon offline módon.
  • Egyes védelmi szoftverek rendelkeznek olyan viselkedési minta felismerési képességekkel, amelyek több zsarolóvírus futását megakadályozhatják.
  • Korlátozza az RDP kapcsolatokat, amennyiben nem okvetlenül szükséges azok használata.
  • Amennyiben mégis szükséges távoli asztal elérést biztosítani egyes számítógépekhez, ezeket tegye csak VPN-en keresztül elérhetővé.
  • Minden account (de különösen az admin jogosultsági szintűek) esetében használjon erős jelszavakat és időközönként cserélje azokat.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben.
  • A csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve is.
  • Amennyiben mégis bekövetkezik a fertőzés és nem rendelkezett backuppal, célszerű mentést készíteni a titkosított fájlokról. Az aktuálisan elérhető dekriptorok listáját a NoMoreRansom projekt weboldalán találja: https://www.nomoreransom.org/hu/index.html

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »