Algunos expertos en seguridad han encontrado
una nueva amenaza presente en equipos de empresas y usuarios particulares. La
han bautizado con el nombre de Saturn, ya que añade esta extensión a todos
aquellos archivos del sistema que se ven afectados por su cifrado. Por el
momento no está del todo claro cuál es el método de difusión.
Lo que sí han podido
confirmar es que la amenaza, una vez se ha instalado en el sistema, realiza una
serie de comprobaciones para cerciorarse del entorno. Otras, sin embargo,
realizan estas operaciones antes de proceder con la instalación, evitando de
esta forma ofrecer pistas sobre su funcionamiento.
Para ser más
precisos, la comprobación que realiza está relacionada con el entorno de
ejecución. Si se detecta que se trata de una máquina virtual, el ransomware
Saturn detiene cualquier actividad.
De no ser así,
comienza con el caos, modificando la configuración del sistema operativo
Windows.
Desactivación de funciones de restauración y
reparación
Parta ser más
exactos, realiza la ejecución del siguiente comando:
cmd.exe /C
vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete &
bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set
{default} recoveryenabled no & wbadmin delete catalog -quiet
Es decir, borra todas
las copias de seguridad existentes de programas de terceros, desactiva la
reparación de Windows en el inicio y todo el catálogo de copias de seguridad de
Windows. El resultado es un equipo con opciones de restauración mermadas.
Después de llevar a
cabo esta tarea, comienza con el cifrado de la información. Las extensiones de
los archivos que son susceptibles de verse afectados son las siguientes:
txt, psd, dwg, pptx,
pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg,
123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd,
sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds,
dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff,
tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup,
bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm,
bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx,
vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
Tal y como hemos
indicado anteriormente, a todos los archivos afectados se les añade la
extensión .saturn.
En cada carpeta que
se produce el cifrado de la información, la amenaza deja tres archivos:
#DECRYPT_MY_FILES#.html
#DECRYPT_MY_FILES#.txt
#KEY-[id asociada al
equipo afectado].KEY
Para abreviar en
explicaciones, los archivos de texto contienen las instrucciones para realizar
el pago a un monedero perteneciente a un servicio de la red TOR. Para ser más
exactos, se trata de su34pwhpcafeiztt.onion.
El archivo .KEY será
utilizado cuando el usuario acceda al servicio, siendo necesario para acceder a
la sección personal en la que se realizará el pago de la cantidad demandada.
Algunas herramientas de seguridad detectan a
Saturn
Teniendo en cuenta
que se trata de una amenaza relativamente nueva, el porcentaje de herramientas
que detectan su presencia y logran detener la actividad antes de que se realice
la instalación son pocas.
Como sucede en estas
situaciones, la mejor defensa con la que pueden contar los usuarios es con
imágenes del sistema almacenadas en otras unidades o dispositivos y copias de
seguridad de la información.
Para eso, lo mejor es
recurrir a un dispositivo NAS.
Fuente :Bleeping
Computer
