Vuelven los ransomware después de una pequeña pausa. Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares. La han bautizado con el nombre de Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Por el momento no está del todo claro cuál es el método de difusión.
Hay que extremar las precauciones con esta amenaza. Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables. Esto quiere decir que conviene guardar en la recámara una copia de seguridad reciente para disponer de cierta maniobrabilidad ante este tipo de sucesos.
Lo que sí han podido confirmar es que la amenaza, una vez se ha instalado en el sistema, realiza una serie de comprobaciones para cerciorarse del entorno. Otras, sin embargo, realizan estas operaciones antes de proceder con la instalación, evitando de esta forma ofrecer pistas sobre su funcionamiento.
Para ser más precisos, la comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad.
De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows.
Desactivación de funciones de restauración y reparación
Parta ser más exactos, realiza la ejecución del siguiente comando:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quietEs decir, borra todas las copias de seguridad existentes de programas de terceros, desactiva la reparación de Windows en el inicio y todo el catálogo de copias de seguridad de Windows. El resultado es un equipo con opciones de restauración mermadas.
Después de llevar a cabo esta tarea, comienza con el cifrado de la información. Las extensiones de los archivos que son susceptibles de verse afectados son las siguientes:
txt, psd, dwg, pptx, pptm, ppt, pps, 602, csv, docm, docp, msg, pages, wpd, wps, text, dif, odg, 123, xls, doc, xlsx, xlm, xlsb, xlsm, docx, rtf, xml, odt, pdf, cdr, 1cd, sqlite, wav, mp3, wma, ogg, aif, iff, m3u, m4a, mid, mpa, obj, max, 3dm, 3ds, dbf, accdb, sql, pdb, mdb, wsf, apk, com, gadget, torrent, jpg, jpeg, tiff, tif, png, bmp, svg, mp4, mov, gif, avi, wmv, sfk, ico, zip, rar, tar, backup, bak, ms11, ms11 (Security copy), veg, pproj, prproj, ps1, json, php, cpp, asm, bat, vbs, class, java, jar, asp, lib, pas, cgm, nef, crt, csr, p12, pem, vmx, vmdk, vdi, qcow2, vbox, wallet, dat, cfg, configTal y como hemos indicado anteriormente, a todos los archivos afectados se les añade la extensión .saturn.
En cada carpeta que se produce el cifrado de la información, la amenaza deja tres archivos:
- #DECRYPT_MY_FILES#.html
- #DECRYPT_MY_FILES#.txt
- #KEY-[id asociada al equipo afectado].KEY
Para abreviar en explicaciones, los archivos de texto contienen las instrucciones para realizar el pago a un monedero perteneciente a un servicio de la red TOR. Para ser más exactos, se trata de su34pwhpcafeiztt.onion.
El archivo .KEY será utilizado cuando el usuario acceda al servicio, siendo necesario para acceder a la sección personal en la que se realizará el pago de la cantidad demandada.
Algunas herramientas de seguridad detectan a Saturn
Teniendo en cuenta que se trata de una amenaza relativamente nueva, el porcentaje de herramientas que detectan su presencia y logran detener la actividad antes de que se realice la instalación son pocas.
Como sucede en estas situaciones, la mejor defensa con la que pueden contar los usuarios es con imágenes del sistema almacenadas en otras unidades o dispositivos y copias de seguridad de la información.
Para eso, lo mejor es recurrir a un dispositivo NAS.
QNAP TS-251A
Este equipo de alto rendimiento incorpora un procesador Intel Celeron N3060 con doble núcleo a 1.6GHz, 4 GB de memoria RAM DDR3L-1600, 2 bahías para discos duros o SSD, 2 puertos Gigabit Ethernet para hacer Link Aggregation y también 3 puertos USB 3.0. Dispone de una salida HDMI para la reproducción multimedia y un sistema operativo con miles de opciones de configuración.
Este equipo de alto rendimiento incorpora un procesador Intel Celeron N3060 con doble núcleo a 1.6GHz, 4 GB de memoria RAM DDR3L-1600, 2 bahías para discos duros o SSD, 2 puertos Gigabit Ethernet para hacer Link Aggregation y también 3 puertos USB 3.0. Dispone de una salida HDMI para la reproducción multimedia y un sistema operativo con miles de opciones de configuración.
ASUSTOR AS3102T
Este NAS incorpora 2 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporta RAID 0 y RAID 1, tiene un procesador Intel Celeron a 1.6GHz, 2GB de RAM, un puerto Gigabit Ethernet para la LAN y tres puertos USB 3.0. También tiene una salida HDMI para conectarlo a TV o monitor y que funcione como un reproductor multimedia.
Este NAS incorpora 2 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporta RAID 0 y RAID 1, tiene un procesador Intel Celeron a 1.6GHz, 2GB de RAM, un puerto Gigabit Ethernet para la LAN y tres puertos USB 3.0. También tiene una salida HDMI para conectarlo a TV o monitor y que funcione como un reproductor multimedia.
QNAP TS-253A
Este equipo de alto rendimiento incorpora un procesador Intel Celeron N3150 de cuatro núcleos a 1.6GHz, 4 GB de memoria RAM DDR3L-1600, 2 bahías para discos duros o SSD, 2 puertos Gigabit Ethernet para hacer Link Aggregation y también 4 puertos USB 3.0 de alto rendimiento. Además dispone de 2 puertos de salida HDMI con soporte 4K para la reproducción multimedia.
Este equipo de alto rendimiento incorpora un procesador Intel Celeron N3150 de cuatro núcleos a 1.6GHz, 4 GB de memoria RAM DDR3L-1600, 2 bahías para discos duros o SSD, 2 puertos Gigabit Ethernet para hacer Link Aggregation y también 4 puertos USB 3.0 de alto rendimiento. Además dispone de 2 puertos de salida HDMI con soporte 4K para la reproducción multimedia.
Synology DS416
NAS de gama alta con 4 bahías para discos duros de 2,5" y 3,5" SATA3 permitiendo su instalación y retirada, procesador de doble núcleo a 1,4 GHz acompañado de una memoria RAM de 1 GB DDR3, dos puertos Gigabit Ethernet compatibles con Link Aggregation y un precio en el mercado que se encuentra entorno a 430 euros.
NAS de gama alta con 4 bahías para discos duros de 2,5" y 3,5" SATA3 permitiendo su instalación y retirada, procesador de doble núcleo a 1,4 GHz acompañado de una memoria RAM de 1 GB DDR3, dos puertos Gigabit Ethernet compatibles con Link Aggregation y un precio en el mercado que se encuentra entorno a 430 euros.
WD My Cloud Mirror
Dispositivo NAS que posee dos bahías de almacenamiento compatibles con discos de 3,5" y una capacidad total de hasta 16 TB en función del modelo escogido. WD incluye dos discos WD Red y en este caso el modelo de 4 TB posee un precio que ronda los 285 euros, con dos puertos USB 3.0 traseros y un puertos Gigabit Ethernet.
Dispositivo NAS que posee dos bahías de almacenamiento compatibles con discos de 3,5" y una capacidad total de hasta 16 TB en función del modelo escogido. WD incluye dos discos WD Red y en este caso el modelo de 4 TB posee un precio que ronda los 285 euros, con dos puertos USB 3.0 traseros y un puertos Gigabit Ethernet.
Thecus N4310
Este NAS incorpora cuatro bahías para discos duros de hasta 8TB de capacidad. Tiene 1 puerto Gigabit Ethernet para la LAN y dos puertos USB 3.0 de alto rendimiento. Incorpora servidor de archivos, servidor de medios DLNA, gestor de descargas HTTP, FTP y BitTorrent. Su sistema operativo permite instalar un gran número de aplicaciones gracias a su tienda de software oficial para extender funcionalidades.
Este NAS incorpora cuatro bahías para discos duros de hasta 8TB de capacidad. Tiene 1 puerto Gigabit Ethernet para la LAN y dos puertos USB 3.0 de alto rendimiento. Incorpora servidor de archivos, servidor de medios DLNA, gestor de descargas HTTP, FTP y BitTorrent. Su sistema operativo permite instalar un gran número de aplicaciones gracias a su tienda de software oficial para extender funcionalidades.
ASUSTOR AS6202T
Este NAS incorpora 2 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporta RAID 0 y RAID 1, tiene un procesador Intel Celeron N3150 Braswell Quad-Core a 2.08GHz, 4GB de RAM, 2 puertos Gigabit Ethernet para la LAN con soporte Link Aggregation y una salida HDMI para conectar el NAS a la TV y usarlo como si fuera un reproductor multimedia. El sistema operativo ADM 2.5 permite la instalación de cientos de aplicaciones para extender las funcionalidades.
Este NAS incorpora 2 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporta RAID 0 y RAID 1, tiene un procesador Intel Celeron N3150 Braswell Quad-Core a 2.08GHz, 4GB de RAM, 2 puertos Gigabit Ethernet para la LAN con soporte Link Aggregation y una salida HDMI para conectar el NAS a la TV y usarlo como si fuera un reproductor multimedia. El sistema operativo ADM 2.5 permite la instalación de cientos de aplicaciones para extender las funcionalidades.
Thecus N5810PRO
Este NAS incorpora 5 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporte RAID10, tiene un procesador Intel Celeron J1900 Quad Core a 2.0 GHz, 4GB de RAM (con posibilidad de aumentarla a 8GB), 5 puertos Gigabit Ethernet para la LAN con soporte Link Aggregation y un mini UPS (batería) para evitar que los cortes de corriente eléctrica produzcan pérdida de datos.
Este NAS incorpora 5 bahías para discos duros de hasta 8 TB de capacidad cada uno y soporte RAID10, tiene un procesador Intel Celeron J1900 Quad Core a 2.0 GHz, 4GB de RAM (con posibilidad de aumentarla a 8GB), 5 puertos Gigabit Ethernet para la LAN con soporte Link Aggregation y un mini UPS (batería) para evitar que los cortes de corriente eléctrica produzcan pérdida de datos.
D-Link DNS-340L
Este NAS incorpora cuatro bahías para discos duros de hasta 6TB de capacidad, un puerto USB 3.0 en la parte frontal, dos puertos USB 2.0 en la parte trasera y también dos puertos Gigabit Ethernet para la LAN. Incorpora servidor de archivos, servidor de medios DLNA, gestor de descargas y un gran número de aplicaciones gracias a sus add-ons. Además es compatible con mydlink Cloud Services para gestionarlo desde cualquier lugar.
Este NAS incorpora cuatro bahías para discos duros de hasta 6TB de capacidad, un puerto USB 3.0 en la parte frontal, dos puertos USB 2.0 en la parte trasera y también dos puertos Gigabit Ethernet para la LAN. Incorpora servidor de archivos, servidor de medios DLNA, gestor de descargas y un gran número de aplicaciones gracias a sus add-ons. Además es compatible con mydlink Cloud Services para gestionarlo desde cualquier lugar.
WD My Cloud DL2100
Este NAS posee un procesador Intel Atom de doble núcleo funcionando a una frecuencia de 1,7 GHz, 1 GB de memoria RAM ampliable a 5 GB y una capacidad de almacenamiento que oscila entre 4 TB y 12 TB. Existe la posibilidad adquirir el producto con discos WD Red ya incluidos.
Este NAS posee un procesador Intel Atom de doble núcleo funcionando a una frecuencia de 1,7 GHz, 1 GB de memoria RAM ampliable a 5 GB y una capacidad de almacenamiento que oscila entre 4 TB y 12 TB. Existe la posibilidad adquirir el producto con discos WD Red ya incluidos.
