La scorsa settimana è stata rilasciata una nuova versione del ransomware Cerber che presenta nuove funzionalità.
Nuova estensione random:
La modifica più importante è che il ransomware non cripta più con estensione “.Cerber3”, ma con una estensione formata da 4 caratteri random: ad esempio 1xQHJgozZM.b71c.
Nuova nota di riscatto:
La richiesta di riscatto è contenuta in un file HTA (HTML Application, un tipo di applicazione per Windows scritta in HTML) denominato README.hta. Quando aperta, la nota di riscatto appare in una applicazione Windows e mostra il testo del riscatto.
Esempio:
Questa nuova versione di Cerber comprende una lista aggiuntiva di processi da chiudere attraverso la direttiva “close_process” contenuta nelle configurazioni di Cerber. Questa direttiva indica a Cerber di chiudere alcuni processi prima che si avvii la criptazione.
Questa è la lista dei processi che verranno terminati:
Questi processi vengono chiusi al fine di abilitare i file di tali processi alla criptazione: nel caso in cui questi processi risultino ancora in esecuzione durante la criptazione, i file dati corrispondenti potrebbero risultare per Cerber inaccessibili per la crittografia.
Infine, questa versione di Cerber invia in maniera continuativa, a fini statistici, pacchetti UPD ad una serie di indirizzi remoti compresi tra 31.184.234.0 e 31.184.234.23
Nessun commento:
Posta un commento