Nuovo ransomware Saturn attivo “in-the-wild”

      Nessun commento su Nuovo ransomware Saturn attivo “in-the-wild”
Tempo di lettura: 2 minuti

Il MalwareHunterTeam ha individuato in-the-wild un nuovo esemplare di ransomware, non è ancora chiaro il veicolo d’infezione utilizzato. I file criptati vengono rinominati con estensione .Saturn e, per ora, non risultano ancora recuperabili con alcun strumento. 


 

Come funziona l’infezione

Come detto non ben chiaro il veicolo d’infezione usato dal ransomware, è noto però che operazione esegue in fase d’infezione: infatti dopo aver verificato di non esser in un ambiente protetto/virtuale il ransom cancella tutte le copie shadow, disabilita l’avvio in modalità ripristino del sistema e cancella i cataloghi di Windows Backup, tutto questo eseguendo questi comandi:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

I file analizzati e criptati dal ransom sono i seguenti:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

Il ransom, al termine di queste operazioni, crea dei file atti a notificare all’utente l’avvenuta infezione indicando il metodo di pagamento che avverrà attraverso la rete TOR in valuta virtuale BitCoin. 

Leggi  Si torna a scuola, ma attenzione alla sicurezza online

Per accedere alla propria pagina “personale” verrà richiesto di eseguire l’upload di un file KEY che risiede in una delle cartelle criptate. 

Come proteggersi?

Vi sono alcune regole di base da seguire per attuare le dovute contromisure contro questo tipo di infezioni, sono le seguenti:

  • mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 
  • mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 
  • accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 
  • utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
  • eseguire delle scansioni antivirus regolari del sistema
  • non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall’italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l’allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
  • eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 

Puoi leggere anche:Strumenti disponibili, fino ad oggi, per il recupero dei file infetti dai Ransomware (Aggiornato al 23 Agosto 2017)

CertNazionale

Via: New Saturn Ransomware Actively Infecting Victims

Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
Elvis
Seguimi
(Visited 63 times, 1 visits today)
Ad

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *