Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Saturn Ransomware: adesso è anche un RaaS, servizio ransomware online.
- MARTEDÌ 20 FEBBRAIO 2018



I Quick Heal Security Labs
 hanno individuato un nuovo tipo di ransomware attualmente in circolazione, chiamato "Saturn": cripta i file aggiungendovi l'estensione ".Saturn".  

Come vengono criptati i file 
Una volta raggiunto il dispositivo bersaglio, Saturn verifica la presenza o meno di eventuali ambienti virtuali e di debugger, in presenza dei quali Saturn non verrà eseguito. In aggiunta a questi due controlli, Saturn verificherà anche se l'utente abbiamo o meno i privilegi di amministrazione. 


In caso di successo dell'infezione, Saturn disabilita le opzione di ripristino e backup attraverso Vssadmin.exe. Vssadmin.exe viene usato anche per cancellare le copie di volume shadow sul disco. 

1.“C:\Windows\System32\cmd.exe” /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog”
2.“C:\Windows\system32\vssadmin.exe, vssadmin.exe delete shadows /all /quiet “ 

Eseguiti i comandi precedenti, Saturn comincia la sua attività di criptazione. Dalla nostra analisi possiamo dedurre che Saturn si concentri principalmete sul criptare i file Non PE:  di seguito riportiamo le estensioni che sono state criptate con successo durante le nostre prove.  

‘txt,pptx, ppt, csv, docm,wpd, wps, text, dif, xls, doc, xlsx, xlsm, docx, rtf, xml,pdf, cdr, 1cd, sqlite, wav, mp3,mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, mp4, mov, gif, avi, wmv,ico, zip, rar, tar, backup, bak, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib,crt,pl, pem, vmx, vmdk, vdi, vbox,dat,cfg, config’.

I file che sono stati criptati da Saturn si presentano come nella foto sottostante. 
 
 
A fine criptazione il ransomware rilascia in ogni cartella criptata la nota di riscatto in 3 diversi formati: ".html" ".txt". e ".BMP". Ne rilascia una ulteriore versione in .VBS per attivare anche una notifica vocale. 

 Le note di riscatto rilasciate da Saturn 
Ecco come si presentano le note di riscatto:

1. la versione in HTML

2. la versione in BMP.

  

Il pagamento del riscatto

Gli utenti possono pagare il riscatto visitando il sito “http://su34pwhpcafeiztt.onion” usando una rete Tor dove sarà possibile richiedere la chiave di decriptazione dopo la compilazione di un captcha, come illustrato nella figura seguente. 

 

Appena effettuato il log-in, l'utente visualizzerà una pagina dove sono riportati, rispettivamente, l'ammontare del riscatto e il tempo rimanente per pagamento. Qualora il riscatto non venga pagato entro una settimana, verrà chiesto all'utente di pagare una cifra doppia rispetto a quella fissata inizialmente. 

 

RaaS: i Ransomware come servizio 
Saturn si diffonde generalmente attraverso email di spam e pubblicità dannose; di recente, tuttavia, ha avviato una modalità di diffusione definita come “RaaS: Ransomware -as-a-service”. Qualsiasi utente, registrandosi sul pannello di gestione del RaaS Saturn, ottiene una copia personalizzabile del codice del ransomware: potrà così avviare la propria distribuzione. I riscatti verranno pagati sul conto in criptovaluta dello sviluppatore del ransomware, che tratterrà per sé in 30% dei riscatti, consegnando ai diffusori il restante 70%.  

Come Quick Heal è in grado di proteggere i suoi utenti da Saturn
Oltre alla rilevazione statica, Quick Heal neutralizza questa minaccia grazie alla funzione Anti-Ransomware e al Sistema di Individuazione Comportamentale. 
 
       
Come tenersi alla larga da rasnsomware
  • quando scarichi un software (nuovo, ma anche un update) fallo sempre e solo dal sito web ufficialedel produttore. Non fare mai click su link contenuti in email o da siti web di terze parti;
  • un gran numero di malware che attaccano i browser web sfruttano vulnerabilità di Adobe Flash Player. Il consiglio migliore è di interrompere l'uso di Flash Player: chi lo usa ancora deve invece avere premura di installare la versione più recente;
  • mantieni aggiornato il tuo sistema operativo e tutti i software che usi
    • fai click sul Menù di Windows e digita "Pannello di controllo"
    • seleziona o digita "Windows Update"
    • esegui il download degli aggiornamenti consigliati;
  • esegui regolari backup dei tuoi dati importanti. La migliore soluzione è eseguirli in cloud: se invece li esegui in locale, consigliamo di farlo su supporti isolati dal computer o dalla rete;
  • non usare il tuo computer con i pieni privilegi di amministratore: usa un utente standard. Se un malware come Bad Rabbit colpisce il tuo computer quando usi l'admin usare, questo può essere diffuso direttamente in altri computer della rete senza che ci sia bisogno di nessuna credenziale di login.
  • non fidarti di email che ti inducono a credere che sia urgente fare click o scaricare un allegato. Se queste email così preoccupanti arrivano da persone che conosci, chiedi conferma al mittente.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login