Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares a la que han llamado  Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Por el momento no se tiene muy claro  cuál es el método de difusión.

Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables.

Esto quiere decir que  es importante contar con un  buen sistema de respaldos   ante este tipo de sucesos.

Lo que  han  podido confirmar los expertos es que la amenaza, una vez que se ha instalado en el sistema, realiza una serie de comprobaciones para cerciorarse del entorno. Otras, sin embargo, realizan estas operaciones antes de proceder con la instalación, evitando de esta forma ofrecer pistas sobre su funcionamiento.

La comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad.

De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows.

La ejecución que realiza es la siguiente:

“cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet ”

Lo cuál indica que  borra todas las copias de seguridad existentes de programas de terceros, desactiva la reparación de Windows en el inicio y todo el catálogo de copias de seguridad de Windows. El resultado es un equipo con opciones de restauración mermadas.

Después de llevar a cabo esta tarea, comienza con el cifrado de la información. Las extensiones de los archivos que son susceptibles de verse afectados son las siguientes:

“txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config ”

Tal y como se ha indicado anteriormente, a todos los archivos afectados se les añade la extensión .saturn.

En cada carpeta que se produce el cifrado de la información, la amenaza deja tres archivos:

• #DECRYPT_MY_FILES#.html
• #DECRYPT_MY_FILES#.txt
• #KEY-[id asociada al equipo afectado].KEY

Los  archivos de texto contienen las instrucciones para realizar el pago a un monedero perteneciente a un servicio de la red TOR.

El archivo .KEY será utilizado para acceder a la sección personal en la que se realizará el pago de la cantidad demandada.

Teniendo en cuenta que se trata de una amenaza relativamente nueva, el porcentaje de herramientas que detectan su presencia y logran detener la actividad antes de que se realice la instalación son pocas.

Fuente: Redes Zone

Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.

Distrubuidor Preferred Partner de Barracuda Networks en México.