venerdì 10 marzo 2017

Nuova versione del ransomware Cerber: per la prima volta non modifica il nome dei file.


Da quando Cerber è stato rilasciato la prima volta, nei primi di Marzo del 2016, questo ransomware non si è limitato a criptare i file, ma anche, molto fastidiosamente, a criptare i nomi degli stessi. Questo rende molto molto difficile, per utenti e amministratori, determinare quali file sono criptati e ripristinarli dai backup. Nel tempo sono state lanciate diverse versioni di Cerber, ma questa caratteristica è sempre rimasta una costante.

Questo era vero fino ad oggi, poiché è stata infatti individuata una nuova versione di Cerber che lascia intatto il nome del file e aggiunge soltanto un'estensione casuale di 4 caratteri. Di seguito la foto



La nuova variante, come si può vedere, mantiene il nome originale del file, ma aggiunge una estensione random di 4 cifre al nome del file stesso. Questa estensione dovrebbe essere la stessa per tutti i file criptati su una precisa macchina, ma dovrebbe differire da macchina a macchina.

Per quanto riguarda la nota di riscatto, in nome del file utilizzato resta invariato :_HELP_HELP_HELP_ {RAND} _ . , che viene aggiunta nelle cartelle criptate in formato .png e in formato .hta

Il sito TOR per il pagamento continua ad essere lo stesso e l'importo richiesto ammonta ad 1 bitcoin, che corrisponde circa a $ 1,180 USD, ma aumenta a 2 bitcoin dopo 5 giorni dall'infezione.

Attualmente non esiste ancora una soluzione per decriptare i file. 

Nessun commento:

Posta un commento