Saturn ransomware

Ook bekend als: Saturn virus
Verspreiding: Laag
Schadeniveau: Ernstig

Saturn ransomware verwijderingsinstructies

Wat is Saturn?

Saturn is voor het eerst ontdekt door MalwareHunterTeam en is een virus van het ransomware-type dat, eenmaal geïnfiltreerd, bewaarde gegevens versleutelt en losgeld eist. Tijdens de codering voegt Saturn aan de bestandsnamen de extensie ".saturn" toe (zo wordt bv. "sample.jpg" hernoemd naar "sample.jpg.saturn"). Daarna worden de bestanden onbruikbaar. Na een succesvolle versleuteling creëert Saturn vijf bestanden ("#DECRYPT_MY_FILES#.vbs", "#DECRYPT_MY_FILES.BMP" [die wordt ook ingesteld als bureaubladachtergrond], "#DECRYPT_MY_FILES #.txt", "#DECRYPT_MY_FILES # .html", en "#KEY-dea23dbdbbfeba538e0c3aac3751331d.KEY "). Die worden op het bureaublad geplaatst. De BMP-, TXT- en HTML-bestanden bevatten een bericht waarmee om losgeld gevraagd wordt.

Merk op dat Saturnus wordt aangeboden als RaaS - 'Ransomware as a Service'. Ook is deze malware gratis te downloaden voor aspirant-cybercriminelen via een website op het dark web. Meestal vragen RaaS-providers vooraf een bepaalde vergoeding. De ontwikkelaars van Saturn vragen dat de aspirant-cybercriminelen de malware verspreiden, in ruil ontvangen ze dan 70% van de betalingen. De rest (30%) gaat naar de ontwikkelaars van Saturn. Dit zakelijke model is erg handig voor de ontwikkelaars, omdat ze minimale inspanningen leveren voor de distributie - de 'partners' doen alles voor hen. De ontwikkelaars delen gewoon in de ontvangen betalingen.

De nieuwe bestanden bevatten berichten waarin slachtoffers worden geïnformeerd over de codering en waarin ze worden aangemoedigd om losgeld te betalen in ruil voor de ontsleuteling van hun bestanden. Hoewel het op dit moment onbekend is of Saturnus symmetrische of asymmetrische cryptografie gebruikt is voor de decodering een sleutel vereist die uniek wordt gegenereerd voor elk slachtoffer. Deze sleutels worden bewaard op een externe server die wordt beheerd door de ontwikkelaars van Saturn. Slachtoffers worden aangemoedigd losgeld te betalen voor de vrijgave van hun bestanden. De prijs van decodering bedraagt $300 (in Bitcoins), maar de betaling moet wel binnen zeven dagen worden ingediend, anders verdubbelen de kosten verdubbelen. Na één maand zijn de bestanden definitief verloren. Ondanks de dreigementen en eisen, raden we je ten zeerste af geld over te maken. Onderzoek toont aan dat cybercriminelen hun slachtoffers vaak negeren als het losgeld wordt betaald. Met andere woorden, betalen levert geen resultaat op, je wordt opgelicht. We raden je ten sterkste af om met deze personen contact op te nemen. Helaas zijn er geen tools die bestanden versleuteld door Saturnus kunnen ontsleutelen. De enige oplossing is alles te herstellen vanuit een back-up.

Screenshot van een bericht waarmee gebruikers wordt gevraagd losgeld te betalen om hun getroffen bestanden te ontsleutelen:

Saturn decryptie-instructies

Hoewel Saturn als RaaS wordt geleverd, deelt het veel gelijkenissen met tientallen andere virussen van het ransomware-type, zoals bijvoorbeeld Wana Decrypt0r, Tornado, David en TBlocker. Hoewel deze virussen door verschillende cybercriminelen werden ontwikkeld gedragen ze zich identiek: ze versleutelen opgeslagen gegevens en vragen om losgeld. Ze hebben vaak slechts twee belangrijke verschillen: 1) de grootte van het losgeld, en; 2) type gebruikte cryptografie. Onderzoek toont aan dat, helaas, de meeste van deze virussen algoritmen gebruiken (bijv. RSA, AES enz.) die unieke decoderingssleutels genereren. Daarom is het handmatig decoderen van bestanden zonder betrokkenheid van de ontwikkelaars haast onmogelijk. De enige kans op het gratis decoderen doet zich voor als de ransomware niet volledig werd ontwikkeld of als er bepaalde bugs of fouten in werden geprogrammeerd (de sleutel is bijvoorbeeld hardcoded, wordt lokaal opgeslagen enz.). Ransomware is een goed argument voor het onderhouden van regelmatige gegevensback-ups, maar back-upbestanden moeten dan wel worden bewaard op een externe server (bijvoorbeeld in de cloud) of op externe opslagmedia die niet permanent met de computer worden verbonden. Als dat niet het geval is, worden de back-ups gecodeerd.

Hoe besmette ransomware mijn computer?

Ransomware-virussen worden op verschillende manieren verspreid, maar de meest voorkomende methodes zijn spamberichten, websites waarop illegaal gekopieerde software wordt aangeboden, valse updaters en trojans. Spamberichten bevatten vaak kwaadwillende bijlagen (bijv. MS Office-documenten, JavaScript-bestanden enz.) die, eenmaal geopend, stiekem het virus downloaden en installeren. Niet-officiële downloadbronnen (P2P [peer-to-peer] -netwerken, gratis bestandshostingsites, ...) verspreiden ook malware door die als legitieme software te presenteren. Gebruikers worden misleid tot het downloaden en installeren van malware. Valse software-updaters infecteren het systeem via softwarebugs en installeren malware in plaats van updates. Trojans zijn het eenvoudigste - in de meeste gevallen openen ze 'de achterdeur' zodat malware het systeem kan infiltreren.

Hoe bescherm je jezelf tegen besmettingen met ransomware?

De belangrijkste redenen voor computerinfecties zijn een gebrek aan kennis en onvoorzichtig gedrag. De sleutel tot computerveiligheid is voorzichtigheid. Wees daarom heel voorzichtig als je op internet surft. Open nooit bestanden die werden ontvangen van verdachte e-mailadressen - verwijder deze onmiddellijk, zonder ze te lezen. Download je applicaties alleen via legitieme bronnen, met behulp van directe downloadlinks. Externe downloaders en installatieprogramma's mogen nooit worden gebruikt, omdat ze vaak kwaadaardige apps verspreiden. Houd geïnstalleerde software up-to-date en gebruik een legitieme antivirus en anti-spyware software. Vergeet niet dat misdadigers malware verspreiden via nep-updaters. Daarom mogen apps enkel worden bijgewerkt met behulp van geïmplementeerde functies of tools die worden aangeboden door de officiële ontwikkelaar.

Screenshot van het HTML-bestand van Saturn:

Saturn html bestand

Tekst getoond in Saturn ransomware's .txt ("#DECRYPT_MY_FILES#.txt") en .html ("#DECRYPT_MY_FILES#.html") bestanden:

S A T U R N


Al uw bestanden zijn gecodeerd!


Om uw bestanden te decoderen, volgt u deze stappen:

# --------------------------------------------- #


1. Download en installeer de "Tor Browser" van hxxps://www.torproject.org

2. Open deze.

3. Open in de Tor Browser de website:
hxxp://su34pwhpcafeiztt.onion

4. Volg de instructies op de pagina


# --------------------------------------------- #

Screenshot van Saturn's bureaubladachtergrond:

Saturn wallpaper

Screenshot van Saturn's website (homepage):

Saturn website

Texks op deze pagina:

Saturn Decryptor

 

Al uw documenten, foto's, databases en andere belangrijke bestanden zijn gecodeerd!

 

Om je bestanden te herstellen, moet je een speciale software kopen genaamd 'Saturn Decryptor' '

 

Als u binnen 7 dagen betaalt, bedraagt ​​de prijs 300$ (0,02782545 BTC)

 

Na 7 dagen zal de prijs stijgen tot 600 $ (0,0556509 BTC)

 

Uw bestanden kunnen een maand lang worden hersteld, daarna zijn uw bestanden voorgoed verdwenen.

 

De speciale aanbieding eindigt over 6 dagen, 23 uur, 59 minuten en 56 seconden

Hoe Saturn Decryptor te kopen

 

De enige betaalmethode die we accepteren is Bitcoin, er zijn veel methoden om deze te verkrijgen.

1. U moet een Bitcoin (BTC) wallet aanmaken.
We raden de meest populaire portemonnee blockchain.info of coinbase.com aan
2. U moet een aantal Bitcoins kopen.

 

Koop meer dan 0,02782545 bitcoins

 

We raden de volgende betrouwbare sites aan om bitcoin te kopen van (niet gerelateerd aan deze site op welke manier dan ook)
localbitcoins.com
coincafe.com
coinmama.com
CEX.IO
howtobuybitcoins.info
3. Stuur 0.02782545 bitcoins naar het Bitcoin-adres hieronder:
1JgXf2cMhG9Cwg3xdzP7a1hHSM8bbPBEte
4. Wacht tot de betaling is bevestigd.
Ververs de pagina om de actuele betalingsstatus te bekijken.
5. Zodra de betaling is bevestigd, kunt u 'Saturn Decryptor' downloaden.
U wordt dan automatisch doorgestuurd naar de downloadpagina.

 

betalingen
Status
Geen betaling gevonden
Totaal bevestigd 0 BTC

 

We hebben 0 van de 0,02782545 bitcoins van u ontvangen

Screenshot van de Saturn website (FAQ):

Saturn website FAQ

Tekst op deze pagina:

Saturn Decryptor
FAQ
Vraag: wat is er met mijn bestanden gebeurd?
A: Uw bestanden zijn gecodeerd door Saturn ransomware.

Schermafbelelding van bestanden versleuteld door Saturn (".saturn" extensie):

Bestanden versleuteld door Saturn

Saturn ransomware verwijdering:

Saturn virus onmiddellijk en automatisch verwijderen: Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn, en soms is hier professionele computerkennis voor nodig. Spyhunter is een professionele tool voor het automatisch verwijderen van malware, en is aanbevolen voor het verwijderen van Saturn virus. Download het door op de knop hieronder te klikken:
Spyhunter DOWNLOADEN De gratis scanner controleert of je computer besmet is. Om malware te verwijderen moet je een volledige versie kopen van Spyhunter. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Stap 1

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in 'Veilige Modus met Netwerk':

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 8 te starten in 'Veilige Modus met Netwerk':

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

Windows 8 Safe Mode with networking

Video die toont hoe Windows 10 te starten in 'Veilige Modus met Netwerk':

Stap 2

Log in op het account dat besmet is met Saturn Ransomware. Start je internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan.

Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.

Video die toont hoe het ransomware virus te verwijderen via de 'Veilige Modus met commando-prompt' en 'Systeemherstel':

1. Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.

system restore using command prompt type cd restore

3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.

system restore using command prompt rstrui.exe

4. In het geopende venster klik 'Volgende'.

restore system files and settings

5. Selecteer één van de beschikbare herstelpunten en klik 'Volgende' (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).

select a restore point

6. In het geopende venster klik 'Ja'.

run system restore

7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen malware verwijderingssoftware om enige achtergebleven delen van het Saturn ransomware te elimineren.

Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de Saturn ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.

Om een bestand te herstellen klik met de rechtermuisknop op het bestand, ga naar Eigenschappen en selecteer de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de 'Herstellen'-knop.

Bestanden herstellen versleuteld door CoinVault

Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan kan je je computer opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.

Om de controle terug te krijgen over bestanden die werden versleuteld met Saturn ransomware kan je ook een programma uitproberen genaamd Shadow Explorer. Meer informatie over hoe dit programma werkt kan je hier vinden.

shadow explorer schermafbeelding

Om je computer tegen ransomware die bestanden versleutelt te beschermen zou je gereputeerde antivirus of anti-spywareprogramma's moeten gebruiken. Als een extra beschermingsmethode kunnen computergebruikers de programma's HitmanPro.Alert en Malwarebytes Anti-Ransomware gebruiken, deze bouwen group policy objecten in het register zodat programma's als Saturn geblokkeerd worden.

Merk op dat de Windows 10 Fall Creators Update een 'Gecontroleerde toegang tot mappen'-functie bevat die ransomware kan helpen blokkeren. Deze functie beschermt automatisch bestanden in de mappen Documenten, Afbeeldingen, Video's, Muziek en Bureaublad.

Gecontroleerde toegang tot mappen

Windows 10-gebruikers zouden deze update moeten installeren om hun data tegen ransomware te beschermen. Je vindt hier meer informatie ove deze update en de manier waarop die je tegen ransomware kan beschermen.

HitmanPro.Alert CryptoGuard - detecteert de versleuteling van bestanden en blokkeert dit automatisch:

hitmanproalert ransomware preventie applicatie

Malwarebytes Anti-Ransomware Beta gebruikt geavanceerde proactieve technologie om ransomware-activiteit te meten en meteen te stoppen. Voordat gebruikersbestanden getroffen worden.

malwarebytes anti-ransomware

  • De beste manier om schade door ransomware-besmettingen te voorkomen is het regelmatig nemen van backups. Meer informatie over online backup oplossingen en dataherstelsoftware vind je HIER.

Andere tools waarvan geweten is dat ze de Saturn ransomware kunnen verwijderen:

Bron: https://www.pcrisk.com/removal-guides/12331-saturn-ransomware