La nuova versione dell’avido ransomware Cerber termina addirittura i processi

Il mese di ottobre è iniziato, per il ransomware Cerber, con una profonda “ristrutturazione”; adesso, il temibile cryptoblocker destinato all’OS Windows presenta tutta una serie di nuove caratteristiche e funzionalità nocive, svelate di recente dagli analisti di BleepingComputer. Secondo gli esperti, le novità di maggior rilievo sono rappresentate dalla nuova estensione per i file criptati (gli autori del blocker sono in effetti passati dall’ormai nota estensione statica .Cerber3 ad un’estensione formata da quattro caratteri casuali), dall’utilizzo di un file HTA per la richiesta di pagamento del riscatto, e dall’aggiunta della specifica direttiva “close_process”, la quale consente di terminare, prima dell’operazione di codifica dei file, alcuni processi di database.

Anche la versione aggiornata di Cerber, tuttavia, provvede a “rimescolare”, così come in precedenza, il nome del file al termine del processo di cifratura di quest’ultimo, ma non assegna più – come abbiamo visto – un’estensione statica contenente il nome del ransomware stesso, bensì un’estensione arbitraria, generata “al volo”; un file sottoposto a codifica può essere ad esempio salvato come “1xQHJgozZM.b71c”.

La richiesta relativa al pagamento del riscatto viene ora formulata ricorrendo all’utilizzo di un documento in formato HTA, apribile per mezzo della relativa applicazione Windows. In esso sono contenute tutte le istruzioni necessarie per poter decriptare i file compromessi; vengono inoltre accuratamente indicati gli indirizzi delle pagine web personali adibite all’acquisto del decryptor, così come le modalità per l’eventuale download e per l’installazione del browser Tor; i malintenzionati hanno infine inserito, in qualità di informazione supplementare, alcuni “chiarimenti” riguardo all’esatta posizione dei nuovi documenti .hta, di fatto presenti nelle cartelle che “ospitano” i file cifrati.

I virus writer – spiegano gli esperti – hanno aggiunto la funzionalità che consente di terminare vari processi di database con il preciso intento di “liberare” un maggior numero di file per le operazioni di crittografia. In effetti, se Cerber procedesse allo svolgimento del suo task principale durante l’esecuzione di tali processi, i file utilizzati da questi ultimi potrebbero risultare non accessibili, per il malware.

Sottolineiamo, infine, come gli “operatori” di Cerber continuino a raccogliere dati statistici, sotto forma di pacchetti UDP inviati agli indirizzi IP riconducibili al range 31.184.234.0/23.

Bleepingcomputer.com

Post correlati

C'è 1 commento
  1. Giuseppe Fois

    Per favore lavorate sodo per decriptare I file criptati da cerber in tutte le versioni oltre che prevenire preferisco pagare voi che I criminali!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *