A continuación, realiza una serie de acciones para imposibilitar que las víctimas restauren los archivos cifrados, elimina las copias de volúmenes ocultos, desactiva la reparación de inicio de Windows y borra el catálogo de copias de seguridad de Windows. Debajo del comando ejecutado por el código malicioso:

 

 

En este punto, Saturn ransomware está listo para encriptar archivos que tienen ciertos tipos de archivos. El ransomware, como muchas otras amenazas, usa un sitio de pago Tor que se informa en la nota de rescate que se dejó en la máquina, mientras que Saturn ransomware encripta los archivos. “Al encriptar la computadora, Saturn Ransomware arrojará notas de rescate llamadas #DECRYPT_MY_FILES#.html y #DECRYPT_MY_FILES#.txt y un archivo de clave llamado #KEY-[id].KEY en cada carpeta que encripte un archivo. El archivo de clave se utiliza para iniciar sesión en el sitio de rescate de TOR, mientras que la nota de rescate contiene información breve sobre lo que sucedió con los archivos de las víctimas y un enlace al sitio de pago de TOR en su34pwhpcafeiztt.onion”, escribió Larwrence Abrams de Bleeping Computer.

 

 

Archivo encriptado por Saturn Ransomware (computadora fuente Bleeping)El Saturn ransomware también arroja un #DECRYPT_MY_FILES#.vbs dispara un mensaje de audio a las víctimas, y establece su fondo de escritorio de Windows a #DECRYPT_MY_FILES.BMP.

La autenticación al sitio de TOR se realiza cargando el archivo de clave, luego los usuarios mostrarán la página de descifrado de Saturno para la víctima que incluye instrucciones detalladas.

Los investigadores todavía están analizando el ransomware de Saturno, incluso si se está distribuyendo activamente, aún no está claro qué agentes de amenazas del vector de distribución están usando para propagarlo.