Saturn, el nuevo ransomware que siembra el caos entre los usuarios (añade .saturn a los cifrados)

Vuelven los ransomware después de una pequeña pausa. Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares. La han bautizado con el nombre de Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Por el momento no está del todo claro cuál es el método de difusión.

hay que extremar las precauciones con esta amenaza. Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables. Esto quiere decir que conviene guardar en la recámara una copia de seguridad reciente para disponer de cierta maniobrabilidad ante este tipo de sucesos.

Lo que sí han podido confirmar es que la amenaza, una vez se ha instalado en el sistema, realiza una serie de comprobaciones para cerciorarse del entorno. Otras, sin embargo, realizan estas operaciones antes de proceder con la instalación, evitando de esta forma ofrecer pistas sobre su funcionamiento.

Para ser más precisos, la comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad.

De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows.

Desactivación de funciones de restauración y reparación

Parta ser más exactos, realiza la ejecución del siguiente comando:

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Es decir, borra todas las copias de seguridad existentes de programas de terceros, desactiva la reparación de Windows en el inicio y todo el catálogo de copias de seguridad de Windows. El resultado es un equipo con opciones de restauración mermadas.

Después de llevar a cabo esta tarea, comienza con el cifrado de la información. Las extensiones de los archivos que son susceptibles de verse afectados son las siguientes:

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config
Tal y como hemos indicado anteriormente, a todos los archivos afectados se les añade la extensión .saturn.

En cada carpeta que se produce el cifrado de la información, la amenaza deja tres archivos:

#DECRYPT_MY_FILES#.html
#DECRYPT_MY_FILES#.txt
#KEY-[id asociada al equipo afectado].KEY

Para abreviar en explicaciones, los archivos de texto contienen las instrucciones para realizar el pago a un monedero perteneciente a un servicio de la red TOR. Para ser más exactos, se trata de su34pwhpcafeiztt.onion.

El archivo .KEY será utilizado cuando el usuario acceda al servicio, siendo necesario para acceder a la sección personal en la que se realizará el pago de la cantidad demandada.

Ver información original al respecto en Fuente
https://www.redeszone.net/2018/02/18/saturn-nuevo-ransomware-siembra-caos-los-usuarios/

NOTA ACTUALIZADA:

total de su MD5 bbd4c2d2c72648c8f871b36261be23fd, ofrece el siguiente informe

saludos

ms, 19-2-2018