E' stata individuata una versione del ransomware Cerber che presenta differenze comportamentali rispetto alle versioni precedenti. L'individuazione è avvenuta tramite il Microsoft Malware Protection Center, che ha preso in analisi diverse campagne di distribuzione del ransomware Cerber, sia via mail di spam sia via exploit kit. I cambiamenti più importanti sono che non cancella più le Shadow Volume Copies e che non colpisce più tutte le cartelle e file, ma solo alcuni specifici bersagli. Tutt'ora non ci sono soluzioni alle criptazioni di questo ransomware.
Prende di mira alcune cartelle specifiche...
La nuova versione di Cerber privilegia alcune cartelle rispetto ad altre, nel processo di criptazione. Ecco la lista:
\bitcoin\
\excel\
\microsoft sql server\
\microsoft\excel\
\microsoft\microsoft sql server\
\microsoft\office\
\microsoft\onenote\
\microsoft\outlook\
\microsoft\powerpoint\
\office\
\onenote\
\outlook\
\powerpoint\
\steam\
\the bat!\
\thunderbird\
\word\
Al contrario è allungata la lista delle cartelle escluse dal processo di criptazione:
\$getcurrent\
\$recycle.bin\
\$windows.~bt\
\$windows.~ws\
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\intel\
\msocache\
\perflogs\
\program files (x86)\
\program files\
\programdata\
\recovery\
\recycled\
\recycler\
\system volume information\
\temp\
\users\all users\
\windows.old\
\windows10upgrade\
\windows\
\winnt\
\appdata\local\
\appdata\locallow\
\appdata\roaming\ (made more generic)
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\
Infine è stato aggiornato l'elenco dei file bersaglio per la criptazione. Da quell'elenco, lunghissimo, restano esclusi i seguenti file:
.bat
.cmd
.com
.cpl
.dll
.exe
.hta
.msc
.msi
.msp
.pif
.scf
.scr
.sys
In compenso sono stati aggiunti altri 50 tipi di file alla lista dei file bersaglio del ransomware, per un totale di 493 estensioni bersaglio.
La nota di riscatto ha cambiato colore:La più grossolana forma di indentificazione della nuova versione è il colore del testo della richiesta di riscatto che il ransomware visualizza sul desktop: i caratteri non sono più verdi, ma rossi.
Campagna di diffusione tramite email di spam con allegati dannosi.
Mentre si è registrata una generale riduzione delle distribuzione dei ransomware nel periodo natalizio, le campagne di distribuzione di Cerber non si sono fermate ne diminuite. L'ultima individuata, che colpisce in maniera diffusa una miriade di Stati, è una mail di spam che si finge come comunicazione dell'istituto bancario rispetto a falsi report di transazioni da carta di credito. All'apertura, il file allegato richiede l'abilitazione della macro contenuta nel documento: il file è protetto da una password che viene allegata nel testo della mail. Lo scopo è di superare il blocco della email da parte di quei software antivirus che non possono eseguire la scansione di file protetti da password.
Campagne di difussione tramite exploit kit e il downloader Nemucod.
Le email recano al suo interno link che puntano su siti compromessi con codici che indirizzano gli utenti verso exploit kit che colpiscono Internet Explorer, Microsoft Edge, Flash Player e Silverlight: le vittime vengono infettate col malware Nemucod. Nemucod è solo un downloader: in un secondo momento il donwloader scaricherà ad eseguirà il ransomware.
La campagna attuale, stando a quanto rivela Microsoft, non viene identificata se non in casi ridottissimi, passando sostanzialmente inosservata ai motori di scansione di molti famosi antivirus.
L'Exploit di Flash Player avviene con l'exploit kit Rig.
Una seconda campagna di distribuzione, individuata sempre da Microsoft, tenta tramite Rig l'exploit di Flash Player, nel dettaglio della vulnerabilità CVE-2015-8651 del medesimo software non aggiornato. Se l'exploit ha successo, il ransomware viene installato e eseguito automaticamente: questa campagna colpisce sopratutto utenti europei ed asiatici.
Nessun commento:
Posta un commento