C’è un nuovo ransomware che sta colpendo vari utenti e per il quale abbiamo già ricevuto alcune segnalazioni. Quando colpisce, cripta i dati dell’utente usando la criptazione AES e richiede un riscatto di circa 1.24 bitcoin per rimettere in chiaro I file. Attualmente non esistono vie conosciute per decriptare i file, quindi prestate assolutamente attenzione alle mail e ai siti in cui navigate.
Pare si diffonda tramite siti commerciali e si ha notizia di molte diffusioni a causa della navigazione su forum di origine russa.Che cosa fa?
Per prima cosa Cerber fa un test che controlla se la vittima proviene da un paese in particolare.
Se la vittima proviene da Armenia, Azerbaijan, Belarus, Georgia, Kyrgyzstan, Kazakhstan, Moldova, Russia, Turkmenistan, Tajikistan, Ukraine, Uzbekistan il ransomware si auto-termina e non cripta il PC. Se la vittima non proviene da uno di questi paesi, Cerber si auto installa nella cartella
%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\
A quel punto Cerber si configura per avviarsi automaticamente dopo il login in Windows, mostrerà uno screensaver quando il PC è inattivo e si imposterà per eseguirsi una volta ogni minuto.
In questa fase mostrerà vari falsi system alert (esempio a lato) e riavvierà il PC senza il consenso dell’utente.
Per ragioni sconosciute, il PC si riavvierà in Modalità provvisoria con rete e poi di nuovo si spegnerà automaticamente e ripartirà nella modalità normale. Fatto questo, il ransomware si eseguirà e avvierà il processo di criptazione dei file, modificando il nome dei file in maniera casuale e l’estensione degli stessi in .cerber. es. zPZCzicAQR.cerber
Che tipi di file colpisce?
Un po’ tutti purtroppo: file di testo, immagini, presentazioni in powerpoint, pdf, file audio e video, file di backup, .java e così via…
Inoltre Cerber ha la capacità di individuare le condivisioni non mappate di Windows e criptare i dati che trova. Se il network è impostato su 1 nel file di configurazione, allora Cerber cercherà e cripterà ogni condivisione di rete sulla tua rete, anche se queste condivisioni non sono mappate nel tuo PC.
Che tipo di messaggio lascia nelle cartelle?
Tre tipi di file chiamati:
1.# DECRYPT MY FILES #.html,
2.# DECRYPT MY FILES #.txt
3. # DECRYPT MY FILES #.vbs.
con una nota in latino
“Quod me non necat me fortiorem facit” ovvero “Cioè che non uccide, mi fortifica”
Il Decriptatore di Cerber
Nella nota di riscatto è indicato il sito Tor decrypttozxybarc.onion che funziona sia da servizio di pagamento che di decriptaggio. E’ accessibile in 12 lingue differenti. Una volta selezionata la lingua, richiede l’inserimento di un captcha e infine vi immette nella pagina principale del Cerber Decryptor. In questa pagina troverete le informazioni per pagare il riscatto, l’ammontare dello stesso e la minaccia del raddoppio del riscatto se non si effettua il pagamento entro 7 giorni.
maybe this article can help What Is Ransomware and How To Recover Data
RispondiElimina