Un nuovo ransomware chiamato Saturn è stato scoperto questa settimana da “MalwareHunterTeam”. Questo ransomware crittografa i file sui pc e aggiunge l’estensione .saturn al nome del file. Il Saturn Ransomware viene distribuito attivamente, ma al momento non si sa quali sono i metodi di distribuzione utilizzati.
Sfortunatamente questo ransomware non è decifrabile al momento, per mancanza di copie da analizzare.
Come Saturn Ransomware crittografa un computer
Quando Saturn Ransomware viene installato, controllerà se la vittima è in esecuzione in un ambiente virtuale. Se rileva che è in esecuzione su una macchina virtuale, chiude il processo.
Invece, se non rileva una macchina virtuale, Saturn eseguirà i seguenti comandi per eliminare le copie del volume shadow, disabilita la riparazione all’avvio di Windows e cancella il catalogo di backup di Windows.
Dopo l’esecuzione di questi comandi, esegue la scansione del computer per determinati tipi di file e li crittografa. I tipi di file crittografati da Saturn Ransomware sono:
txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pagine, wpd, wps, testo, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (copia di sicurezza), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, classe, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
Durante la crittografia dei file, l’estensione .saturn verrà aggiunta al nome del file crittografato. Ad esempio, un file chiamato test.jpg verrebbe crittografato e quindi rinominato test..saturn.
Come proteggersi da Saturn Ransomware
Per proteggersi dai ransomware in generale, è importante utilizzare buone abitudini di sicurezza e un software antivirus aggiornati. Poi dovresti sempre avere un backup affidabile e testato dei tuoi dati che può essere ripristinato in caso di emergenza, come in caso di un attacco da ransomware.
Se si utilizza il desktop remoto, è particolarmente importante che non ci siano computer che eseguono servizi di desktop remoto connessi direttamente a Internet. Posiziona invece i computer che eseguono il desktop remoto dietro le VPN in modo che siano accessibili solo a coloro che dispongono di account VPN sulla tua rete.
Dovresti anche avere un software di sicurezza che incorpora rilevamenti comportamentali per combattere il ransomware e non solo rilevazioni di firme o euristica. Ad esempio, Emsisoft Anti-Malware e Malwarebytes Anti-Malware contengono entrambi un rilevamento comportamentale che può impedire a molti, se non la maggior parte, le infezioni ransomware.
Ultimo, ma non meno importante passaggio, assicurati di praticare le seguenti abitudini di sicurezza, che in molti casi sono i passaggi più importanti di tutti:
Backup, Backup, Backup!
Non aprire allegati se non sai chi li ha inviati.
Non aprire gli allegati finché non confermi che la persona ti ha effettivamente inviato,
Scansione allegati con strumenti come VirusTotal.
Assicurati che tutti gli aggiornamenti di Windows siano installati non appena escono! Assicurati inoltre di aggiornare tutti i programmi, in particolare Java, Flash e Adobe Reader. I programmi precedenti contengono vulnerabilità di sicurezza che vengono comunemente sfruttate dai distributori di malware. Pertanto è importante tenerli aggiornati.
Utilizza password complesse e non riutilizzare mai la stessa password su più siti.
