Il ransomware Cerber non è di certo una novità: al contrario è un ransomware che fa dannare i ricercatori di sicurezza perché, dalla versione 3.0 nessuno è riuscito a trovare una falla del suo algoritmo di cifratura. In sunto non esiste, attualmente, soluzione all’infezione da Cerber.
Pochi giorni fa è stata rilasciata una ulteriore versione, la 4.1.0, che ha la particolarità di mostrare la versione del ransomware di cui si è stati vittima direttamente nel testo dell’immagine che viene mostrata, a fine del processo di criptazione, come sfondo del dektop per Windows.
Come cripta i file?
Le versioni precedenti, ovvero Cerber 2 e Cerber 3 criptavano i file modificandone l’estensione rispettivamente in .cerber2 e cerber.3. Questa versione invece modifica l’estensione dei file criptati con una estensione di 4 caratteri che altro non sono che il 4° segmento del valore “MachineGuid” di HKLM\Software\Microsoft\Cryptography registry key.
Ad esempio, se il valore MachineGuid è xxxxxxxx-xxxx-xxxx-D4B6-xxxxxxxxxxxx, i file verranno criptati con l’estensione .D4B6.
La nota di riscatto:
continua ad essere visualizzata in HTM (HTML Application), Readme.hta, ma come detto poco sopra, la nota di riscatto specifica la versione del ransomware. Contiene le informazioni utili per il pagamento del riscatto.
Alcune altre novità:
La nuova versione di Cerber è passata ad un nuovo range di indirizzi IP, da 194.165.16.0 a 194.165.16.22, usati per inviare pacchetti UDP a fini statistici.
 |
| Fonte: Bleeping Computer |
Lawrence Abrams su Bleeping Computer informa anche che, analizzando il ransomware, ha riscontrato che questa versione invia una richiesta ad un explorer della blockchain dei Bitcoin (un database in cui sono visualizzabili le transazioni in Bitcoin). L’URL restituisce un documento JSON contenente le transazioni sull’indirizzo bitcoin 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
AGGIORNAMENTO:
Proprio ieri è stata rilevata la versione 4.1.1 di Cerber, rilasciata a poco meno di 3 giorni di distanza dalla versione 4.1.0
Nessun commento:
Posta un commento