Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il nuovo ransomware Saturn attivo in-the-wild

bitcoin  ransomware  Saturn   lunedì, 19 febbraio 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato Saturn, un nuovo esemplare di ransomware attivo in-the-wild, anche se il vettore di distribuzione di questo malware non è al momento noto.

Una volta lanciato sul computer della vittima, Saturn verifica per prima cosa di non essere in esecuzione all’interno di una macchina virtuale, nel qual caso interrompe il proprio processo. In caso contrario, Saturn esegue comandi specifici sul sistema per cancellare le copie shadow di Windows, disabilitare la funzione di riparazione automatica al riavvio ed eliminare il catalogo di backup.

Successivamente, Saturn dà inizio alla fase di scansione del computer e di cifratura dei file. In particolare, questo ransomware cifra tutti i file con le seguenti estensioni:

.txt, .psd, .dwg, .pptx, .pptm, .ppt, .pps, .602, .csv, .docm, .docp, .msg, .pages, .wpd, .wps, .text, .dif, .odg, .123, .xls, .doc, .xlsx, .xlm, .xlsb, .xlsm, .docx, .rtf, .xml, .odt, .pdf, .cdr, .1cd, .sqlite, .wav, .mp3, .wma, .ogg, .aif, .iff, .m3u, .m4a, .mid, .mpa, .obj, .max, .3dm, .3ds, .dbf, .accdb, .sql, .pdb, .mdb, .wsf, .apk, .com, .gadget, .torrent, .jpg, .jpeg, .tiff, .tif, .png, .bmp, .svg, .mp4, .mov, .gif, .avi, .wmv, .sfk, .ico, .zip, .rar, .tar, .backup, .bak, .ms11, .veg, .pproj, .prproj, .ps1, .json, .php, .cpp, .asm, .bat, .vbs, .class, .java, .jar, .asp, .lib, .pas, .cgm, .nef, .crt, .csr, .p12, .pem, .vmx, .vmdk, .vdi, .qcow2, .vbox, .wallet, .dat, .cfg, .config

Saturn aggiunge ai nomi dei file cifrati l’estensione “.saturn” (ad esempio, “immagine.jpg” viene rinominato in “immagine.jpg.saturn”).

Durante la fase di scansione, Saturn memorizza in ogni cartella contenente file cifrati i file “#DECRYPT_MY_FILES#.html” e “#DECRYPT_MY_FILES#.txt” contenenti la nota di riscatto e un file chiave chiamato “#KEY-[id].KEY”, in cui “[id]” è l’identificativo univoco assegnato dal ransomware alla vittima. Quest’ultimo dovrebbe essere utilizzato per accedere al sito per il pagamento del riscatto sulla rete anonima TOR.

Inoltre, il ransomware memorizza sul PC lo script “#DECRYPT_MY_FILES#.vbs” che fa sì che la macchina infetta “parli” alla vittima mediante una voce sintetica. Infine, Staurn sostituisce l’immagine di sfondo del desktop con quella mostrata in figura (file “#DECRYPT_MY_FILES.BMP”).

Saturn ransomware

La schermata di riscatto del ransomware Saturn

Saturn richiede il pagamento di 300$ in Bitcoin per riottenere l’accesso ai file cifrati, cifra che raddoppia se la vittima non paga entro sette giorni. Come sempre, il CERT Nazionale raccomanda di non pagare in nessun caso il riscatto richiesto dai cybercriminali.

Al momento non è disponibile un metodo per decifrare gratuitamente i file presi in ostaggio da questo ransomware. Gli esperti stanno analizzando i campioni catturati allo scopo di trovare debolezze nello schema di cifratura. Fortunatamente, la capacità di individuazione di Saturn da parte dei più diffusi antivirus risulta piuttosto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto