Kibernetinės atakos yra viena iš problemų, keliančių didesnį galvos skausmą didelėms technologijų įmonėms, užtikrinančioms savo vartotojų IT saugumą.
Per pastaruosius kelis mėnesius daugiausiai girdėjome apie populiarius „Spectre“ ir „Meltdown“ bei daug apie tai, kaip apsisaugoti nuo jų. Didžiajai „Microsoft“ sauga yra svarbi ir ji jau ėmėsi priemonių, kaip atsigauti po „Ransomware“ atakos, apie kurią mes jums jau pasakėme „Solvetic“:
Dabar, remiantis „Bleeping Computer“ pranešimais, „Ransomware“ atakos grįžo po to, kai mums buvo suteiktos nedidelės paliaubos. Saturnas yra nauja grėsmė, kurią matė kibernetinio saugumo ekspertai tiek asmeniniuose kompiuteriuose, tiek įmonėse. Vis dar nėra aiškių duomenų apie tai, kaip jis platinamas, tačiau aišku tai, kad jis prideda plėtinį visiems failams, kuriuos paveikė jo šifravimas, ir pavadinimą, todėl galime juos aptikti.
Kas yra Saturnas ir kaip jis veikia?
Kas yra Saturnas„Saturn“ yra nauja „Ransomware“, kuri paleidžiant užšifruoja visus vartotojo failus ir dokumentus sistemoje „Windows“, prašydama išpirkos už jų atkūrimą.
Kai kuriais atvejais ir pirmiausia ši grėsmė įsitvirtina sistemoje ir yra atsakinga už aplinkos tikrinimą; Tačiau kitais atvejais jie nepalieka savo veiklos pėdsakų, nes prieš atlikdami diegimą atlieka tokio tipo operacijas.
Svarbiausia yra Saturno atlikta aplinkos analizė prieš imantis veiksmų, nes jei ji aptiks, kad tai virtuali mašina, ji sustabdys veiklą. Bet kitaip Saturnas pradeda nuo „Windows“ modifikavimo. Kadangi užšifruoti failai negali būti atkurti, rekomenduojama atsargumo sumetimais padaryti naujausias sistemos atsargines kopijas, kad galėtume reaguoti, jei dalyvaujame tokio tipo atakose.
Kai bus per vėlu ir būsime paveikti tokio tipo atakos, veiksmai, kurių reikia imtis norint jį sustabdyti, bus šie:
Kaip Saturnas veikia žingsnis po žingsnio
1. Ištrina visas atsargines kopijas, padarytas trečiųjų šalių programų, ne tik išjungia „Windows“ atsarginių kopijų katalogą ir „Windows“ remontą paleidžiant, kad visos atkūrimo parinktys būtų išjungtos kompiuteryje naudojant šią komandą:
cmd.exe / C vssadmin.exe ištrinti šešėlius / visi / tylus ir wmic.exe shadowcopy ištrinti & bcdedit / nustatyti {numatytasis} įkrovos būsenos politika ignoruoti visas nesėkmes ir bcdedit / set {default} recoveryenabled no & wbadmin ištrinti katalogą -tylus2. Po šio įvykio ji pradeda šifruoti informaciją, o failai su šiais plėtiniais yra jautrūs:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, puslapiai, wpd, wps, tekstas, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, įtaisas, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, atsarginė kopija, bak, ms11, ms11 (saugos kopija), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, piniginė, dat, cfg, configPo to visi pažeisti failai turi plėtinį .sarturn
3. Galiausiai, kiekviename paveiktame aplanke grėsmė palieka šiuos tris failus:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [ID, susietas su paveiktu kompiuteriu] .KEITIS
Kaip apsisaugoti nuo Saturno?
Mes vis dar neturime daugybės įrankių, galinčių aptikti šią ataką, nes ji yra nauja.
Geriausia apsauga tokiais atvejais yra prevencija, todėl imtis šių veiksmų visada būtų gera idėja:
- Turėkite sistemos vaizdų kituose įrenginiuose ir atsargiai pasidarykite informacijos atsargines kopijas, kad jos būtų kuo atnaujesnės.
- Neatidarykite priedų iš įtartinų ar nežinomų šaltinių.
- Atlikite sistemos atnaujinimus sistemoje „Windows“ kiekvieną kartą, kai atsiranda nauja
- Atnaujinkite programas, ypač „Java“, „Adobe Reader“ ir „Flash“
- Niekada nenaudokite to paties slaptažodžio skirtingose svetainėse
