czwartek, 22 lutego 2018

UWAGA !!! NOWY WIRUS SATURN ATAKUJE !!!



Nowy wirus typu rasomware atakuje komputery !!! 


W ostatnim tygodniu drużyna MalwareHunterTeam zidentyfikowała i opisała nowe i bardzo niebezpieczne zagrożenie wycelowane w użytkowników komputerów z systemem Windows. Wirus Saturn (tak go nazwano po infekcji) szyfruje pliki użytkownika i żąda okupu za ich odblokowanie. Dzięki stronie Bleeping Computer wiadomo,że w wirusie tym nie znaleziono na razie luk pozwalających na odwrócenie procesu szyfrowania plików na komputerach ofiar.Z informacji znalezionych w sieci wynika iż obecnie trwa proces aktywnego rozprzestrzeniania się wirusa.Nie ustalone jeszcze sposobu dystrybuowania zagrożenia więc do czasu wskazania sposobu rozpowszechniania Saturna trzeba uważać na wszystko ( począwszy od nieznanych nam załączników w mailach aż po niezaktualizowane i niezabezpieczone komputery z systemem Windows.


Po wniknięciu do komputera ofiary ransomware Saturn sprawdza czy znajduje się na maszynie wirtualnej czy na normalnym komputerze. Jeśli uzna iż znajduje się w środowisku wirtualnym nie podejmie żadnych kroków. Specjalista od spraw bezpieczeństwa z firmy informatycznej Vritec uważa,że prawdopodobnie cyberprzestępcy chcą w ten sposób zabezpieczyć się przed badaniem expertów nad usunięciem zagrożenia.
W przypadku gdy rasomware wykryje,że nie został uruchomiany na maszynie wirtualnej wyłącza usługę samonaprawy microsoft windows oraz kasuje katalog z kopiami zapasowymi. Następnie Saturn przechodzi do zaszyfrowania plików.Poniżej przedstawiono listę typów plików które mogą zostać zaszyfrowane:
txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11, veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config.

Wszystkie zaszyfrowane pliki otrzymują rozszerzenie saturn. Przykładowo plik desert.jpg po zaszyfrowaniu przez wirus Saturn będzie posiadać rozszerzenie desert.jpg.saturn.
Dodatkowo wirus ten tworzy nowe pliki, które oznajmują zaszyfrowanie plików. Z plików tych wynika,żeby poprzez przeglądarkę Tor wejść na stronę „su34pwhpcafeiztt.onion” (nie zalecamy odwiedzania tej strony w celu sprawdzenia zawartości - nie ma gwarancji,że komputer niezainfekowany nie dozna infekcji poprzez tę właśnie stronę).


Na tej stronie użytkownik jest proszony o wysłanie unikalnego klucza infekcji.
Po wysłaniu klucza użytkownik uzyskuje informację na temat okupu.
Przez siedem dni okup wynosi 300 dolarów płatnych w Bitcoinach.Po upływie tygodnia kwota ta się wynosi 600 dolarów płatnych w Bitcoinach.
Aby jednak zabezpieczyć swe dane należy wykonać kopię zapasową komputera w postaci obrazu systemu na zewnętrznym nośniku. W przypadku problemów z wykonaniem kopii zapasowej firma Vritec za drobną opłatą może Ci pomóc. Nie należy także zapominać również o aktualizacji systemu operacyjnego oraz antywirusa istnieje bowiem szansa,że niedługo pojawi się jakaś aktualizacja zabezpieczająca przed Saturnem. Ponadto warto wstrzymywać się z otwieraniem podejrzanych plików oraz klikaniem w wyglądających na złośliwe reklamy.

Brak komentarzy:

Prześlij komentarz