News

La nuova versione dell’avido ransomware Cerber termina addirittura i processi

Il mese di ottobre è iniziato, per il ransomware Cerber, con una profonda “ristrutturazione”; adesso, il temibile cryptoblocker destinato all’OS Windows presenta tutta una serie di nuove caratteristiche e funzionalità nocive, svelate di recente dagli analisti di BleepingComputer. Secondo gli esperti, le novità di maggior rilievo sono rappresentate dalla nuova estensione per i file criptati (gli autori del blocker sono in effetti passati dall’ormai nota estensione statica .Cerber3 ad un’estensione formata da quattro caratteri casuali), dall’utilizzo di un file HTA per la richiesta di pagamento del riscatto, e dall’aggiunta della specifica direttiva “close_process”, la quale consente di terminare, prima dell’operazione di codifica dei file, alcuni processi di database.

Anche la versione aggiornata di Cerber, tuttavia, provvede a “rimescolare”, così come in precedenza, il nome del file al termine del processo di cifratura di quest’ultimo, ma non assegna più – come abbiamo visto – un’estensione statica contenente il nome del ransomware stesso, bensì un’estensione arbitraria, generata “al volo”; un file sottoposto a codifica può essere ad esempio salvato come “1xQHJgozZM.b71c”.

La richiesta relativa al pagamento del riscatto viene ora formulata ricorrendo all’utilizzo di un documento in formato HTA, apribile per mezzo della relativa applicazione Windows. In esso sono contenute tutte le istruzioni necessarie per poter decriptare i file compromessi; vengono inoltre accuratamente indicati gli indirizzi delle pagine web personali adibite all’acquisto del decryptor, così come le modalità per l’eventuale download e per l’installazione del browser Tor; i malintenzionati hanno infine inserito, in qualità di informazione supplementare, alcuni “chiarimenti” riguardo all’esatta posizione dei nuovi documenti .hta, di fatto presenti nelle cartelle che “ospitano” i file cifrati.

I virus writer – spiegano gli esperti – hanno aggiunto la funzionalità che consente di terminare vari processi di database con il preciso intento di “liberare” un maggior numero di file per le operazioni di crittografia. In effetti, se Cerber procedesse allo svolgimento del suo task principale durante l’esecuzione di tali processi, i file utilizzati da questi ultimi potrebbero risultare non accessibili, per il malware.

Sottolineiamo, infine, come gli “operatori” di Cerber continuino a raccogliere dati statistici, sotto forma di pacchetti UDP inviati agli indirizzi IP riconducibili al range 31.184.234.0/23.

Bleepingcomputer.com

La nuova versione dell’avido ransomware Cerber termina addirittura i processi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

  1. Giuseppe Fois

    Per favore lavorate sodo per decriptare I file criptati da cerber in tutte le versioni oltre che prevenire preferisco pagare voi che I criminali!

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox