باج افزار جدید زحل 2

یک باج افزار جدید این هفته توسط گروه MalwareHunterTeam کشف شد که نامش زحل Saturn است. باج افزار Saturn فایل های روی کامپیوتر را رمزگذاری می کند و سپس پسوند saturn. را به نام فایل اضافه می کند. این باج افزار به صورت فعالانه ای در کل سیستم پخش می شود اما هنوز دقیقا مشخص نیست که از چه روشی برای این کار استفاده می کند.

متاسفانه تاکنون راهی برای حذف باج افزار زحل و رمزگشایی آن پیدا نشده است اما کارشناسان امنیتی در حال تحقیق برروی نقاط ضعف آن هستند. اگر این باج افزار تشخیص دهد که برروی یک ماشین مجازی فعال شده است، روند رمزگذاری را متوقف می کند. اما اگر تشخیص دهد که ماشین مجازی نیست، عملیات و دستورهای زیر را برای پاک کردن نسخه های کپی Shadow volume copy ، غیر فعال کردن قابلیت Startup repair  ویندوز و همچنین پاک کردن بک آپ های ویندوز ارسال می کند.

cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

مرتبط : بانک ابزار رمزگشایی باج افزار – اطلاعات خود را رایگان بازگردانید

وقتیکه این فرمان اجرا شد، شروع به اسکن کامپیوتر برای پیدا کردن فایل هایی خاص برای رمزگذاری می کند. نوع فایل هایی که باج افزار Saturn رمزنگاری می کند عبارتست از :

txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, config

وقتیکه فایل ها رمزگذاری شد پسوند saturn. را به آنها اضافه می کند. برای مثال یک فایلی که نامش test.jpg باشد در حالت رمزگذاری شده به test.jpg.saturn تغییر نام خواهد داد.

باج افزار saturn زحل

 

 

در هنگام قفل کردن فایل ها ، باج افزار جدید Saturn متن باج گیری را که نامش #DECRYPT_MY_FILES#.html و #DECRYPT_MY_FILES#.txt است را به همراه یک فایل کلید به نام KEY-[id].KEY در تمام پوشه هایی که رمزگذاری شده است ارسال می شود. فایل کلید برای وارد شدن به سایت باج افزار TOR است. در آنجا راهنمایی کامل در مورد اینکه چه اتفاقی برای فایل های شما افتاده به همراه لینک پرداخت باج در خود سایت TOR به آدرس su34pwhpcafeiztt.onion وجود دارد. شما می توانید متن باج گیری را در عکس زیر مشاهده نمایید.

 

متن باج گیر زحل saturn

 

این باج افزار جدید فایلی نیز به نام #DECRYPT_MY_FILES#.vbs را برای شما ارسال می کند. سرانجام در پیش زمینه ویندوز شما این عکس #DECRYPT_MY_FILES.BMP را نشان می دهد

 

باج افزار saturn

 

وقتیکه قربانی از سایت TOR بازدید کند از او خواسته می شود تا قبل از هر کاری فایل کلید را در آنجا آپلود کند.

باج افزار زحل

بعد از اینکه فایل کلید را قربانی آپلود کرد، صفحه Saturn Decryptor را برای او نمایش می دهد که اطلاعات بیشتری را برای نحوه کار نمایش می دهد. این دستورالعمل میزان بیت کوین هایی را که برای پرداخت باج در نظر گرفته شده است به همراه آدرس کیف پول بیت کوین را به قربانی اطلاع می دهد. در حال حاظر این مبلغ ۳۰۰ دلار می باشد که قرار است در هفته آینده دو برابر شود.

 

باج افزار جدید saturn

همانگونه که در بالا گفته شد هنوز راهکاری برای رمزگشایی این باج افزار ارائه نشده است و محققان امنیتی در حال ارزیابی آن هستند.

چگونه در مقابل باج افزار Saturn  از خود محافظت کنید

به منظور محافظت از خود در مقابل هر نوع باج افزاری بسیار مهم است که عادات مناسبی در استفاده با کامپیوتر داشته باشید و همچنین از آنتی ویروس مطمئن و نرم افزارهای امنیتی استفاده کنید. اولین و مهمترین راهکار پیشگیری این که باید همیشه از اطلاعات حساس و مهم خود بک آپ داشته باشید تا بتوانید در زمان نیاز آنها را بازیابی کنید.

چنانچه از ریموت دسکتاپ استفاده می کنید بسیار اهمیت دارد که کامپیوتری که به این  سرویس متصل است مستقیم به اینترنت وصل نباشد. به جای آن، کامپیوتری که برروی آن ریموت دسکتاپ فعال است را در پشت شبکه شخصی مجازی یا همان VPN فعال کنید تا تنها برای کسانی که در همان شبکه هستند قابل دسترس باشد.

شما همچنین باید از نرم افزارهای امنیتی که قابلیت ضد باج افزار دارند نیز استفاده کنید. محصولات امنیتی مانند اف سکیور ای ملوربایتز که قابلیت های ضد باج افزار بسیار قدرتمندی را در خود دارند و اجازه فعالیت باج افزارها را به آنها نمی دهند.

مرتبط : امنیت شبکه چیست ؟

نکته بعدی این است که حتما مطمئن شوید که رفتار حرفه ای امنیتی دارید و این قوانین را رعایت می کنید :

  • بک آپ
  • وصله های ایمیل های ناشناس را باز نکنید
  • از آنتی ویروسی استفاده کنید که حتما از ایمیل های اسپم جلوگیری کند و اگر آنها را در اختیار ندارید از ابزاری مانند VirusTotal برای اسکن ضمیمه ها استفاده کنید
  • حتما آخرین وصله ها یا همان پچ های نرم افزارهای روی شبکه خود را دریافت کنید و آنها را همیشه آپدیت و به روز نگه دارید. از به روز بودن سیستم عامل خود مطمئن شوید.
  • از کلمه های عبور پیچیده ای استفاده کنید و به صورت مداوم این پسووردها را تغییر دهید. برای اینکه بتوانید کلمات عبور را مدیریت کنید و آنها را فراموش نکنید می توانید از یک نرم افزار پسورد منیجر استفاده کنید.

مرتبط : یک آنتی ویروس یا ویروس کش قوی چه قابلیت هایی باید داشته باشد

مرتبط : بهترین آنتی ویروس تحت شبکه  – بررسی سایسک

منبع : Bleepingcomputer


باج افزار جدید Saturn ( باج افزار زحل ) تهدیدی برای کامپیوترهای دنیا


 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *