Кибератаки - это одна из проблем, которую большинство головных болей причиняют крупным технологическим компаниям, которые обеспечивают ИТ-безопасность своих пользователей.
В последние месяцы, о которых мы слышали, больше всего были популярны Spectre и Meltdown, и мы много слышали о том, как защитить себя от них. Для гиганта важна безопасность Microsoft, и он уже предпринял меры по восстановлению после атаки Ransomware, о которой мы уже говорили в Solvetic:
Теперь, как сообщает Bleeping Computer, атаки Ransomware вернулись после небольшого перемирия. Сатурн - это новая угроза, которая была сделана экспертами по кибербезопасности как в группах людей, так и в компаниях. Пока нет четких данных о том, как он распространяется, но ясно, что он добавляет расширение ко всем файлам, на которые распространяется его шифрование, с его именем, и поэтому мы можем их обнаружить.
Что такое Сатурн и как он работает?
Что такое сатурн
Сатурн является новым вымогателем, который при запуске шифрует все файлы и документы пользователя в Windows, запрашивая у них выкуп за их восстановление.
В некоторых случаях и в первую очередь эта угроза устанавливается в системе и отвечает за проверку среды; Тем не менее, в других случаях они не оставляют следов своей работы, так как они выполняют операции такого типа перед выполнением их установки.
Самым важным является анализ среды, которую Сатурн выполняет перед тем, как действовать, поскольку, если он обнаруживает, что это виртуальная машина, он отвечает за прекращение действия. Но в противоположном случае Сатурн начинается с модификации Windows. Поскольку зашифрованные файлы не могут быть восстановлены, рекомендуется в качестве меры предосторожности сделать последние резервные копии системы, чтобы отреагировать, если мы вовлечены в этот тип атаки.
Когда уже слишком поздно и мы подвержены атаке такого типа, шаги по ее остановке будут следующими:
Как Сатурн действует шаг за шагом
1. Удалите все резервные копии, созданные сторонними программами, в дополнение к деактивации каталога резервных копий Windows и восстановлению Windows при запуске, чтобы все параметры восстановления были отключены на компьютере с помощью следующей команды:
cmd.exe / C vssadmin.exe удалить тени / все / quiet & wmic.exe shadowcopy удалить & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled нет & wbadmin удалить каталог -quiet 2. После того, как это событие начинает шифровать информацию, возможны файлы со следующими расширениями: xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, текст, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, гаджет, торрент, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, резервное копирование, bak, ms11, ms11 (защищенная копия), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, класс, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, кошелек, dat, cfg, configПосле этого все поврежденные файлы имеют расширение .sarturn.
3. Наконец, в каждой уязвимой папке угроза оставляет эти три файла:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [идентификатор, связанный с уязвимым компьютером] .KEY
Как я могу защитить себя от Сатурна?
У нас до сих пор нет широкого спектра инструментов, которые обнаруживают эту атаку, потому что она является новой.
Лучшей защитой в этих случаях является профилактика, поэтому выполнение этих действий всегда было бы хорошей идеей:
- Создавайте образы системы на других устройствах и делайте резервные копии информации на расстоянии друг от друга, чтобы они были как можно более современными.
- Не открывайте вложения подозрительного или неизвестного происхождения.
- Выполняйте системные обновления в Windows каждый раз, когда появляется новое
- Обновление программ, особенно Java, Adobe Reader и Flash
- Никогда не используйте один и тот же пароль в разных местах
СТАТЬИ