Saturn, el nuevo ransomware que siembra el caos entre los usuarios

Escrito por Adrián Crespo

Vuelven los ransomware después de una pequeña pausa. Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares. La han bautizado con el nombre de Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Por el momento no está del todo claro cuál es el método de difusión.

hay que extremar las precauciones con esta amenaza. Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables. Esto quiere decir que conviene guardar en la recámara una copia de seguridad reciente para disponer de cierta maniobrabilidad ante este tipo de sucesos.

Lo que sí han podido confirmar es que la amenaza, una vez se ha instalado en el sistema, realiza una serie de comprobaciones para cerciorarse del entorno. Otras, sin embargo, realizan estas operaciones antes de proceder con la instalación, evitando de esta forma ofrecer pistas sobre su funcionamiento.

Para ser más precisos, la comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad.

De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows.

Desactivación de funciones de restauración y reparación

Parta ser más exactos, realiza la ejecución del siguiente comando:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Es decir, borra todas las copias de seguridad existentes de programas de terceros, desactiva la reparación de Windows en el inicio y todo el catálogo de copias de seguridad de Windows. El resultado es un equipo con opciones de restauración mermadas.

Después de llevar a cabo esta tarea, comienza con el cifrado de la información. Las extensiones de los archivos que son susceptibles de verse afectados son las siguientes:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

Tal y como hemos indicado anteriormente, a todos los archivos afectados se les añade la extensión .saturn.

En cada carpeta que se produce el cifrado de la información, la amenaza deja tres archivos:

  • #DECRYPT_MY_FILES#.html
  • #DECRYPT_MY_FILES#.txt
  • #KEY-[id asociada al equipo afectado].KEY

Para abreviar en explicaciones, los archivos de texto contienen las instrucciones para realizar el pago a un monedero perteneciente a un servicio de la red TOR. Para ser más exactos, se trata de su34pwhpcafeiztt.onion.

El archivo .KEY será utilizado cuando el usuario acceda al servicio, siendo necesario para acceder a la sección personal en la que se realizará el pago de la cantidad demandada.

Algunas herramientas de seguridad detectan a Saturn

Teniendo en cuenta que se trata de una amenaza relativamente nueva, el porcentaje de herramientas que detectan su presencia y logran detener la actividad antes de que se realice la instalación son pocas.

Como sucede en estas situaciones, la mejor defensa con la que pueden contar los usuarios es con imágenes del sistema almacenadas en otras unidades o dispositivos y copias de seguridad de la información.

Para eso, lo mejor es recurrir a un dispositivo NAS.

Fuente > Bleeping Computer