Siber saldırılar, kullanıcılarının BT güvenliğini sağlayan büyük teknoloji şirketlerinin başını daha çok ağrıtan konulardan biridir.
Son birkaç ayda, popüler Spectre ve Meltdown hakkında en çok şey duyduk ve kendimizi onlardan nasıl koruyacağımız hakkında çok şey duyduk. Dev Microsoft için güvenlik önemlidir ve Solvetic'te size daha önce söylediğimiz bir Fidye Yazılımı saldırısından kurtulmak için önlemler almıştır:
Şimdi ve Bleeping Computer'ın raporlarına göre, Fidye Yazılım saldırıları bize küçük bir ateşkes sağladıktan sonra geri döndü. Satürn, siber güvenlik uzmanları tarafından hem kişisel bilgisayarlarda hem de şirketlerde görülen yeni tehdittir. Nasıl yayıldığına dair hala net bir veri yok ama net olan şu ki, şifrelemeden etkilenen tüm dosyalara ismiyle bir uzantı ekliyor ve böylece onları tespit edebiliyoruz.
Satürn nedir ve nasıl çalışır?
Satürn nedirSaturn, çalıştırıldığında, Windows'ta kullanıcının tüm dosyalarını ve belgelerini şifreleyen ve kurtarma için onlardan bir fidye isteyen yeni Fidye Yazılımıdır.
Bazı durumlarda ve ilk etapta bu tehdit kendini sisteme kurar ve ortamı kontrol etmekten sorumludur; Ancak diğer durumlarda bu tür bir işlemi kurulumlarını gerçekleştirmeden gerçekleştirdikleri için yaptıkları işin iz bırakmazlar.
En önemli şey, Satürn'ün harekete geçmeden önce yaptığı ortamın analizidir, çünkü sanal bir makine olduğunu tespit ederse faaliyeti durduracaktır. Ama aksi halde Satürn Windows'u değiştirerek başlar. Şifrelenmiş dosyalar bir kez kurtarılamadığından, bu tür bir saldırıya karıştığımızda tepki verebilmek için bir önlem olarak sistemin son yedek kopyalarını almamız önerilir.
Çok geç olduğunda ve bu tür bir saldırıdan etkilendiğimizde, durdurmak için izlenecek adımlar şu şekilde olacaktır:
Satürn adım adım nasıl çalışır?
1. Aşağıdaki komutu kullanarak bilgisayarda tüm geri yükleme seçeneklerinin devre dışı bırakılması için Windows yedekleme kataloğunu ve Windows onarımını başlangıçta devre dışı bırakmanın yanı sıra üçüncü taraf programlar tarafından yapılan tüm yedeklemeleri siler:
cmd.exe / C vssadmin.exe gölgeleri sil / tümü / sessiz ve wmic.exe shadowcopy sil ve bcdedit / {varsayılan} önyükleme politikasını yok sayınallfailures ve bcdedit ayarla / {varsayılan} kurtarma etkinleştirildi hayır ve wbadmin kataloğu sil - sessiz2. Bu olaydan sonra, aşağıdaki uzantılara sahip dosyalar duyarlı olacak şekilde bilgileri şifrelemeye başlar:
xt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, sayfalar, wpd, wps, metin, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg.webp, jpeg.webp, tiff, tif, png, bmp.webp, svg, mp4, mov, gif.webp, avi, wmv, sfk, ico, zip, rar, tar, yedekleme, bak, ms11, ms11 (Güvenlik kopyası), sebze, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, sınıf, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, cüzdan, dat, cfg, yapılandırmaBundan sonra, tüm hasarlı dosyalar .sarturn uzantısına sahiptir.
3. Son olarak, etkilenen her klasörde tehdit şu üç dosyayı bırakır:
- # DECRYPT_MY_FILES # .html
- # DECRYPT_MY_FILES # .txt
- # ANAHTAR- [etkilenen bilgisayarla ilişkili kimlik] .KEY
Kendimi Satürn'den nasıl koruyabilirim?
Henüz yeni bir saldırı olduğu için bu saldırıyı tespit eden geniş bir araç yelpazesine sahip değiliz.
Bu durumlarda en iyi koruma önlem almaktır, bu nedenle şu önlemleri almak her zaman iyi bir fikir olacaktır:
- Sistem görüntülerini diğer cihazlarda bulundurun ve mümkün olduğunca güncel olmaları için yakın aralıklarla bilgilerin yedek kopyalarını alın.
- Şüpheli veya bilinmeyen kaynaklardan gelen ekleri açmayın.
- Her yenisi olduğunda Windows'ta sistem güncellemeleri gerçekleştirin
- Programları, özellikle Java, Adobe Reader ve Flash'ı güncelleyin
- Aynı şifreyi asla farklı sitelerde kullanmayın
