Da quando Cerber è stato rilasciato la prima volta, nei primi di Marzo del 2016, questo ransomware non si è limitato a criptare i file, ma anche, molto fastidiosamente, a criptare i nomi degli stessi. Questo rende molto molto difficile, per utenti e amministratori, determinare quali file sono criptati e ripristinarli dai backup. Nel tempo sono state lanciate diverse versioni di Cerber, ma questa caratteristica è sempre rimasta una costante.
Questo era vero fino ad oggi, poiché è stata infatti individuata una nuova versione di Cerber che lascia intatto il nome del file e aggiunge soltanto un'estensione casuale di 4 caratteri. Di seguito la foto
La nuova variante, come si può vedere, mantiene il nome originale del file, ma aggiunge una estensione random di 4 cifre al nome del file stesso. Questa estensione dovrebbe essere la stessa per tutti i file criptati su una precisa macchina, ma dovrebbe differire da macchina a macchina.
Per quanto riguarda la nota di riscatto, in nome del file utilizzato resta invariato :_HELP_HELP_HELP_ {RAND} _ . , che viene aggiunta nelle cartelle criptate in formato .png e in formato .hta
Attualmente non esiste ancora una soluzione per decriptare i file.
Nessun commento:
Posta un commento