Cyberangriffe sind eines der Probleme, die großen Technologieunternehmen, die die IT-Sicherheit ihrer Benutzer gewährleisten, mehr Kopfschmerzen bereiten.
In den letzten Monaten haben wir am meisten über die beliebten Spectre und Meltdown gehört und wir haben viel darüber gehört, wie wir uns davor schützen können. Für den Giganten Microsoft ist Sicherheit wichtig und hat bereits Maßnahmen zur Wiederherstellung nach einem Ransomware-Angriff ergriffen, die wir Ihnen bereits in Solvetic mitgeteilt haben:
Jetzt, und nach Berichten von Bleeping Computer, sind die Ransomware-Angriffe zurückgekehrt, nachdem uns ein kleiner Waffenstillstand gegeben wurde. Saturn ist die neue Bedrohung, die Cybersicherheitsexperten sowohl in PCs als auch in Unternehmen gesehen haben. Es gibt immer noch keine klaren Daten darüber, wie es verbreitet wird, aber klar ist, dass es allen von seiner Verschlüsselung betroffenen Dateien mit seinem Namen eine Erweiterung hinzufügt und wir sie somit erkennen können.
Was ist Saturn und wie funktioniert es?
Was ist SaturnSaturn ist die neue Ransomware, die, wenn sie ausgeführt wird, alle Dateien und Dokumente des Benutzers in Windows verschlüsselt und sie um ein Lösegeld für ihre Wiederherstellung bittet.
In einigen Fällen installiert sich diese Bedrohung in erster Linie selbst auf dem System und ist für die Überprüfung der Umgebung verantwortlich; In anderen Fällen hinterlassen sie jedoch keine Spuren ihrer Tätigkeit, da sie diese Art von Tätigkeit vor der Ausführung ihrer Installation durchführen.
Das Wichtigste ist die Analyse der Umgebung, die Saturn vor dem Handeln durchführt, denn wenn es erkennt, dass es sich um eine virtuelle Maschine handelt, wird die Aktivität gestoppt. Aber ansonsten beginnt Saturn damit, Windows zu modifizieren. Da die einmal verschlüsselten Dateien nicht wiederhergestellt werden können, wird vorsichtshalber empfohlen, aktuelle Sicherungskopien des Systems zu erstellen, um reagieren zu können, wenn wir in diese Art von Angriff verwickelt sind.
Wenn es zu spät ist und wir von dieser Art von Angriff betroffen sind, müssen Sie die folgenden Schritte ausführen, um ihn zu stoppen:
So funktioniert Saturn Schritt für Schritt
1. Löscht alle Backups, die von Drittanbieterprogrammen erstellt wurden, zusätzlich zum Deaktivieren des Windows-Sicherungskatalogs und der Windows-Reparatur beim Start, sodass alle Wiederherstellungsoptionen auf dem Computer mit dem folgenden Befehl deaktiviert werden:
cmd.exe / C vssadmin.exe delete shadows / all / quiet & wmic.exe shadowcopy delete & bcdedit / set {default} bootstatuspolicy ignoreallfailures & bcdedit / set {default} recoveryenabled no & wbadmin delete catalog -quiet2. Nach diesem Ereignis beginnt es, die Informationen zu verschlüsseln, wobei Dateien mit den folgenden Erweiterungen anfällig sind:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, seiten, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mittel, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, Gadget, Torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Sicherheitskopie), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, klasse, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, brieftasche, dat, cfg, configDanach haben alle beschädigten Dateien die Erweiterung .sarturn
3. Schließlich hinterlässt die Bedrohung in jedem betroffenen Ordner diese drei Dateien:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # KEY- [ID des betroffenen Computers] .KEY
Wie kann ich mich vor Saturn schützen?
Wir verfügen immer noch nicht über eine breite Palette von Tools, die diesen Angriff erkennen, da es sich um einen neuen handelt.
Der beste Schutz in diesen Fällen ist die Vorbeugung, daher wäre es immer eine gute Idee, diese Maßnahmen zu ergreifen:
- Halten Sie Systemabbilder auf anderen Geräten bereit und erstellen Sie Sicherungskopien der Informationen in engen Abständen, damit sie so aktuell wie möglich sind.
- Öffnen Sie keine Anhänge von verdächtigen oder unbekannten Quellen.
- Führen Sie jedes Mal Systemupdates in Windows durch, wenn es ein neues gibt
- Update-Programme, insbesondere Java, Adobe Reader und Flash
- Verwenden Sie niemals dasselbe Passwort auf verschiedenen Websites