E' stata individuata, in diffusione nel web, una nuova versione di Cerber, il ransomware CRBR ENCRYPTOR. In realtà è improprio definirla "nuova versione" in quanto l'unico cambiamento saliente è stato, appunto, il cambio di nome. Esattamente come per le altre versioni, anche questa non ha soluzione.
Come si diffonde
Ad oggi viene distribuito tramite diverse tecniche, sopratutto exploit kit o email di spam.
Nel primo caso, alcuni ricercatori hanno individuato meccanismi di diffusione tramite l'exploit kit MagnitudeEK: l'infezione avviene cioè nel momento in cui si visitano siti web compromessi nei quali è stato iniettato il codice dannoso. L'installazione di CRBR avviene, in questo caso, senza che la vittima abbia la possibilità di rendersene conto, se non a processo di criptazione ultimato.
Nel secondo caso invece, il ricercatore Chris Campell ha individuato una email di SPAM, apparentemente inviata dal Microsoft Security Team. Questa mail afferma che è stata registrata una attività sospetta sull'account Microsoft in questione, quindi invita all'apertura dell'allegato per istruzioni su come risolvere il problema.
 |
| Fonte: bleepingcomputer.com |
Quando l'allegato - che è un archivio .zip contenente un file JS- viene aperto, l'eseguibile di Cerber viene salvato nella cartella %Temp%, quindi eseguito.
Come cripta i file
Il meccanismo di criptazione invece non ha subito grosse modifiche: le novità sono che il ransomware modifica i nomi dei file con caratteri random e aggiunge una estensione random di 4 caratteri, uguale per tutti i file criptati.
La richiesta di riscatto invece viene salvata in due diversi formati:
R_E_A_D__T_H_I_S__[caratteri random]_.hta e
R_E_A_D__T_H_I_S__[caratteri random]_.txt.
Oltre a ciò, viene sostituita l'immagine di sfondo del desktop con un nuova immagine al posto della vecchia schermata di Cerber. Il sito di pagamento per il riscatto, invece, è lo stesso di Cerber: attualmente sono richiesti 0.5 bitcoin, ma l'ammontare raddoppia al passaggio dei 5 giorni dall'infezione.
Nessun commento:
Posta un commento