Autor Tema: Analizando Saturn Ransomware  (Leído 291 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 811
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Analizando Saturn Ransomware
« el: 01 abril de 2018, 10:26 am »

Encontré una pieza demasiado interesante que se llama Saturn Ransomware. Infecta a sus víctimas enviando spam emails y se aprovecha de sistemas de mala seguridad.

Algunas características interesantes, es que tiene defensas propias:
  • anti-debug
  • anti-vm: utiliza técnicas avanzadas para corroborar, en su ejecución, si se está abriendo el programa en una máquina virtual. En caso afirmativo, se cierra el proceso para simular "que no funciona" y que el usuario lo pruebe en su máquina host. Asi, si hay un antivirus en la VM, este no lo detectará.

Cómo funciona

Al ejecutarse, lo primero que hace a eliminar las shadow copies para que los archivos no puedan recuperarse mediante la restauración del archivo infectado. Luego utiliza el proceso VSSADMIN.exe para eliminar los puntos de restauración y los backups de Windows. Deja un .vbs y un HTML con explicaciones de como desencriptar y pagar.

Todo lo logra estableciendo una conexión con el servidor malicioso mediante wscript.exe. Posibles herramientas que podrían haber prevenido la infección:
  • Un firewall en modo interactivo que detecte la conexión saliente de wscript.exe al servidor y poder bloquearlo.
  • Un antivirus actualizado que haya bloqueado el adjunto del email o bloqueado el script mediante su escudo de comportamiento.
  • Un anti-ejecutable que podría haber bloqueado la descarga del payload desde el servidor a la carpeta AppData y así evitar el inicio de la encriptación.

Recuerden que se puede ejecutar el adjunto del email malicioso pero si este archivo no logra establecer una conexión con el servidor o ejecutar el payload no habrá valido la pena.

Nuevamente, la manera más efectiva de combatirlo es tener backups al dia en una máquina separada o en discos externos.


Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.