Saturn zsarolóvírus

CH azonosító

CH-14370

Angol cím

Saturn ransomware

Felfedezés dátuma

2018.02.20.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A MalwareHunterTeam felfedezett egy új zsaroló vírust, melyre ‘Saturn’-ként hivatkoznak, ugyanis a kártevő .saturn kiterjesztéssel látja el a titkosított fájlokat.

Leírás

Az eddigi információk szerint a vírust aktívan terjesztik, azonban a fertőzés metódusa nem ismert.

Tevékenység:

1) A káros kód először ellenőrzi, hogy virtuális környezetben fut-e és amennyiben ez beigazolódik, beszünteti a tevékenységét. 

2) Törli az elérhető árnyékmásolatokat, kikapcsolja a Windows startup repair funkciót és törli a Windows Backup katalógust az alábbi parancsokkal:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

3) Ezt követően titkosítja az alábbi kiterjesztéssel bíró állományokat:

xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

4) A zsaroló üzenetet az alábbi fájlokban helyezi el:

#DECRYPT_MY_FILES#.html

#DECRYPT_MY_FILES#.txt

Egy kulcs fájlt is létrehoz, amely a támadók TOR hálózaton keresztül elérhető oldalára (su34pwhpcafeiztt.onionvaló bejelentkezésre szolgál:

#KEY-[id].KEY 

A váltságdíj jelenleg 300 USD, azonban a zsaroló üzenet szerint ez 7 naponta duplázódik.

Indikátorok:

  • hash: 9e87f069de22ceac029a4ac56e6305d2df54227e6b0f0b3ecad52a01fbade021
  • fájlok:

#DECRYPT_MY_FILES#.txt
#DECRYPT_MY_FILES#.vbs
#DECRYPT_MY_FILES.BMP
#KEY-[id].KEY

  • Váltságdíj üzenet:

 S A T U R N

All of your files have been encrypted!
To Decrypt your files follow these steps:

#---------------------------------------------#
1. Download and install the "Tor Browser" from ht tps://w ww.torproject .org

2. Run it.

3. In the Tor Browser, open website:
   ht tp://su34pwhpcafeiztt. onion

4. Follow the instructions on the page
#---------------------------------------------#

Megoldás

Jelenleg nem érhető el dekriptor a fájlok visszakódolásához, ezért a megelőzés és a biztonságtudatos magatartás a leghatékonyabb védekezési lehetőség. A váltságdíj kifizetése nem javasolt, mivel nincs garancia arra, hogy azt követően valóban megtörténik a fájlok visszaállítása.

Ennek érdekében:

  • Mindig telepítse az operációs rendszer és antivírus program frissítéseit.
  • Készítsen rendszeresen biztonsági mentést adatairól, melyeket tároljon offline módon.
  • Egyes védelmi szoftverek rendelkeznek olyan viselkedési minta felismerési képességekkel, amelyek több zsarolóvírus futását megakadályozhatják.
  • Korlátozza az RDP kapcsolatokat, amennyiben nem okvetlenül szükséges azok használata.
  • Amennyiben mégis szükséges távoli asztal elérést biztosítani egyes számítógépekhez, ezeket tegye csak VPN-en keresztül elérhetővé.
  • Minden account (de különösen az admin jogosultsági szintűek) esetében használjon erős jelszavakat és időközönként cserélje azokat.
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben.
  • A csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve is.
  • Amennyiben mégis bekövetkezik a fertőzés és nem rendelkezett backuppal, célszerű mentést készíteni a titkosított fájlokról. Az aktuálisan elérhető dekriptorok listáját a NoMoreRansom projekt weboldalán találja: https://www.nomoreransom.org/hu/index.html