La semana pasada, MalwareHunterTeam detectó un nuevo ransomware llamado Saturn. Según un informe detallado, Saturn se está distribuyendo activamente en este momento, pero los métodos utilizados para su distribución son desconocidos y además, este ransomware aún no se puede descifrar.

Cuando Saturn Ransomware está instalado, verifica si la víctima está utilizando un entorno virtual. Si detecta que está utilizando una máquina virtual, saldrá del proceso. Si no detecta una máquina virtual, Saturn ejecutará una serie de comandos para eliminar copias de seguridad de programas de terceros, desactivar la reparación de inicio de Windows y borrar el catálogo de copias de seguridad de Windows.

Después de ejecutar los comandos, escaneará el pc en busca de ciertos tipos de archivos y los encriptará, añadiendoles la extensión .saturn.

El ransomware también deja una nota de rescate en cada carpeta (#DECRYPT_MY_FILES#.html, #DECRYPT_MY_FILES#.txt y #KEY-[id asociada al equipo afectado].KEY), que contiene un enlace al sitio de pago. El rescate se establece en $ 300 en este momento, que se duplica después de siete días.

Pero eso no es todo, los creadores de Saturn están ofreciendo el ransomware de forma gratuita a través de un programa de afiliados Ransomware-as-a-Service (RaaS).

Los miembros del programa necesitan generar un archivo de infección y distribuirlo a otros usuarios a través de correo electrónico u otro tipo de campañas. Los usuarios infectados terminan pagando el rescate en forma de Bitcoin a los creadores de malware. El miembro afiliado del programa obtiene el 70% del pago y los creadores obtienen el 30%.

Para protegerse es importante tener una copia de seguridad fiable y que se puede restaurar en caso de emergencia. Si está utilizando un escritorio remoto, es importante que trabaje con VPN. También debe tener un antivirus que incorpore detecciones de comportamiento para combatir el ransomware.

Enlace a noticia