Os ataques cibernéticos são um dos problemas que mais dão dor de cabeça às grandes empresas de tecnologia, que garantem a segurança de TI de seus usuários.
Nos últimos meses, ouvimos muito sobre os populares Spectre e Meltdown e muito sobre como nos proteger deles. Para a gigante Microsoft, a segurança é importante e ela já colocou medidas para se recuperar de um ataque de Ransomware que já falamos no Solvetic:
Agora, e de acordo com relatórios do Bleeping Computer, os ataques de Ransomware voltaram depois de nos dar uma pequena trégua. Saturno é a nova ameaça que tem sido vista por especialistas em segurança cibernética tanto em computadores pessoais quanto em empresas. Ainda não há dados claros sobre como ele se espalha, mas o que está claro é que adiciona uma extensão a todos os arquivos afetados por sua criptografia com seu nome e assim podemos detectá-los.
O que é Saturno e como funciona?
O que é SaturnoO Saturn é o novo Ransomware que, quando executado, criptografa todos os arquivos e documentos do usuário no Windows, pedindo um resgate pela sua recuperação.
Em alguns casos e em primeiro lugar, essa ameaça se instala no sistema e é responsável por verificar o ambiente; Porém, em outros casos, não deixam vestígios do seu funcionamento, uma vez que realizam este tipo de operação antes de executar a instalação.
O mais importante é a análise do ambiente feita pelo Saturn antes de agir, pois se ele detectar que se trata de uma máquina virtual, a atividade será interrompida. Mas, caso contrário, o Saturn começa com a modificação do Windows. Como os arquivos uma vez criptografados não podem ser recuperados, é recomendado como precaução fazer cópias de backup recentes do sistema para podermos reagir caso estejamos envolvidos neste tipo de ataque.
Quando for muito tarde e formos afetados por este tipo de ataque, os passos a seguir para detê-lo serão os seguintes:
Como funciona o Saturno passo a passo
1. Apaga todos os backups feitos por programas de terceiros, além de desativar o catálogo de backup do Windows e o reparo do Windows na inicialização para que todas as opções de restauração sejam desativadas no computador usando o seguinte comando:
cmd.exe / C vssadmin.exe deletar sombras / all / quiet & wmic.exe shadowcopy deletar & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled não & wbadmin delete catalog -quiet2. Após esse evento, ele começa a criptografar as informações, sendo suscetíveis os arquivos com as seguintes extensões:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, páginas, wpd, wps, texto, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (cópia de segurança), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, carteira, dat, cfg, configDepois disso, todos os arquivos danificados têm a extensão .sarturn
3. Finalmente, em cada pasta afetada, a ameaça deixa estes três arquivos:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [id associado ao computador afetado] .KEY
Como posso me proteger de Saturno?
Ainda não temos uma ampla gama de ferramentas que detectam esse ataque porque é um novo.
A melhor proteção nesses casos é a prevenção, portanto, tomar essas medidas sempre seria uma boa ideia:
- Tenha imagens do sistema em outros dispositivos e faça cópias de backup das informações com espaçamento reduzido para que fiquem o mais atualizadas possível.
- Não abra anexos de fontes suspeitas ou desconhecidas.
- Realize atualizações do sistema no Windows sempre que houver um novo
- Programas de atualização, especialmente Java, Adobe Reader e Flash
- Nunca use a mesma senha em sites diferentes
