Kybernetické útoky jsou jedním z problémů, které způsobují větší bolesti hlavy velkým technologickým společnostem, které zajišťují IT bezpečnost jejich uživatelů.
Za posledních několik měsíců jsme slyšeli nejvíce o populárních Spectre a Meltdown a hodně jsme slyšeli o tom, jak se před nimi chránit. Pro obří Microsoft je bezpečnost důležitá a již zavedla opatření k zotavení z útoku Ransomware, který jsme vám již řekli v Solvetic:
Nyní, a podle zpráv od Bleeping Computer, se útoky Ransomware vrátily poté, co nám dali malé příměří. Saturn je nová hrozba, se kterou se odborníci na kybernetickou bezpečnost setkali jak v osobních počítačích, tak ve společnostech. Stále nejsou k dispozici žádná jasná data o tom, jak se šíří, ale je jasné, že přidává příponu ke všem souborům ovlivněným svým šifrováním svým názvem, a tak je můžeme detekovat.
Co je Saturn a jak funguje?
Co je SaturnSaturn je nový ransomware, který při spuštění šifruje všechny soubory a dokumenty uživatele ve Windows a žádá je o výkupné za jejich obnovu.
V některých případech a na prvním místě se tato hrozba sama nainstaluje do systému a má na starosti kontrolu prostředí; V jiných případech však nezanechávají stopu své činnosti, protože tento typ operace provádějí před provedením instalace.
Nejdůležitější věcí je analýza prostředí, kterou Saturn provedl před jednáním, protože pokud zjistí, že se jedná o virtuální stroj, aktivitu zastaví. Ale jinak Saturn začíná úpravou Windows. Protože zašifrované soubory nelze obnovit, doporučujeme jako preventivní opatření vytvořit si nejnovější záložní kopie systému, aby bylo možné reagovat, pokud jsme součástí tohoto typu útoku.
Až bude příliš pozdě a my jsme ovlivněni tímto typem útoku, budou kroky, které je třeba provést, abychom jej zastavili, následující:
Jak Saturn funguje krok za krokem
1. Kromě deaktivace katalogu záloh Windows a opravy systému Windows při spuštění vymaže všechny zálohy vytvořené programy třetích stran, aby byly v počítači zakázány všechny možnosti obnovení pomocí následujícího příkazu:
cmd.exe / C vssadmin.exe odstranit stíny / vše / tichý & wmic.exe stínová kopie smazat & bcdedit / nastavit {výchozí} bootstatuspolicy ignorovat všechny chyby & bcdedit / nastavit {výchozí} obnovení povoleno ne & wbadmin smazat katalog -tichý2. Po této události začne informace šifrovat, přičemž náchylné jsou soubory s následujícími příponami:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, stránky, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, zálohování, bak, ms11, ms11 (bezpečnostní kopie), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, peněženka, dat, cfg, configPoté mají všechny poškozené soubory příponu .sarturn
3. Nakonec v každé ovlivněné složce hrozba opouští tyto tři soubory:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [id spojené s postiženým počítačem] .KEY
Jak se mohu chránit před Saturnem?
Stále nemáme širokou škálu nástrojů, které by tento útok detekovaly, protože se jedná o nový.
Nejlepší ochranou v těchto případech je prevence, takže provedení těchto opatření by bylo vždy dobré:
- Nechte na jiných zařízeních obrazy systému a vytvářejte záložní kopie informací v těsném sousedství, aby byly co nejaktuálnější.
- Neotevírejte přílohy z podezřelých nebo neznámých zdrojů.
- Provádějte aktualizace systému ve Windows pokaždé, když existuje nový
- Aktualizujte programy, zejména Javu, Adobe Reader a Flash
- Nikdy nepoužívejte stejné heslo na různých webech
