lunedì 3 luglio 2017

Cerber ancora una volta in diffusione, ma con un nuovo nome


E' stata individuata, in diffusione nel web, una nuova versione di Cerber, il ransomware CRBR ENCRYPTOR. In realtà è improprio definirla "nuova versione" in quanto l'unico cambiamento saliente è stato, appunto, il cambio di nome. Esattamente come per le altre versioni, anche questa non ha soluzione.


Come si diffonde
Ad oggi viene distribuito tramite diverse tecniche, sopratutto exploit kit o email di spam.

Nel primo caso, alcuni ricercatori hanno individuato meccanismi di diffusione tramite l'exploit kit MagnitudeEK: l'infezione avviene cioè nel momento in cui si visitano siti web compromessi nei quali è stato iniettato il codice dannoso. L'installazione di CRBR avviene, in questo caso, senza che la vittima abbia la possibilità di rendersene conto, se non a processo di criptazione ultimato. 

Nel secondo caso invece, il ricercatore Chris Campell ha individuato una email di SPAM, apparentemente inviata dal Microsoft Security Team. Questa mail afferma che è stata registrata una attività sospetta sull'account Microsoft in questione, quindi invita all'apertura dell'allegato per istruzioni su come risolvere il problema. 

Fonte: bleepingcomputer.com
Quando l'allegato - che è un archivio .zip contenente un file JS- viene aperto, l'eseguibile di Cerber viene salvato nella cartella %Temp%, quindi eseguito. 

Come cripta i file
Il meccanismo di criptazione invece non ha subito grosse modifiche: le novità sono che il ransomware modifica i nomi dei file con caratteri random e aggiunge una estensione random di 4 caratteri, uguale per tutti i file criptati.


La richiesta di riscatto invece viene salvata in due diversi formati:
R_E_A_D__T_H_I_S__[caratteri random]_.hta e 
R_E_A_D__T_H_I_S__[caratteri random]_.txt.

Oltre a ciò, viene sostituita l'immagine di sfondo del desktop con un nuova immagine al posto della vecchia schermata di Cerber. Il sito di pagamento per il riscatto, invece, è lo stesso di Cerber: attualmente sono richiesti 0.5 bitcoin, ma l'ammontare raddoppia al passaggio dei 5 giorni dall'infezione. 

Nessun commento:

Posta un commento