Ogni attacco ransomware è accompagnato da un certo numero di indicatori distinti di compromisssione, unici per i vari tipi di minacce in grado di criptare i file. Per prima cosa, queste includono lo scambio di chiavi di captazione, l’estensione aggiunta ai file delle vittime, e cose come note di riscatto che forniscono istruzioni agli utenti infetti sul recupero dati. Se quest’ultimo IOC coinvolge un set di documenti dal nome “Decrypt My Files” nei formati TXT, HTML e VBS, allora il colpevole è il Trojan Cerber ransom.
Il blocco dei progressi dei ransomware ad oggi è un’utopia e sicuramente non avverrà in un prossimo futuro, dato che la redditività senza paragoni di queste minacce per i protagonisti del cyber crimine è tutt’altro che trascurabile. Abbiamo visto una rapida espansione dei crypto virus che si spostano verso un modello di affiliazione, mossa che molti esperti avrebbero ritenuto irrealistica solo pochi mesi fa. Ed ora, l’ultimo ritrovato della tecnica è il ransomware che parla. Questa funzionalità è incorporata nel codice di Cerber, un nuovo arrivato nel dominio dell’estorsione digitale. Il Trojan cripta i file delle sue prede oltre la capacità di ripristino normale ed offre loro la possibilità di riscattare i dati inviando 1,24 Bitcoins verso i portafogli sicuri dei criminali. Per quanto possa sembrare duro da accettare, pagare gli oltre $ 500 del riscatto è sfortunatamente l’unico modo affidabile per riaccendere ai propri file personali colpiti.
Il modo in cui viene promosso Cerber dipende da chi è coinvolto nella sua distribuzione. Ecco come funziona – si tratta di una delle campagne Ransomware as a Service, o RaaS. Ciò significa che persone a caso con cattive intenzioni possono ottenere il codice di questo malware da certe risorse darknet e di conseguenza condividere i stati ricevuti con lo sviluppatore. Il modo più diffuso per diffondere questi virus e attraverso e-mail e di phishing con archivi ad estrazione automatica in allegato. Quando viene aperto uno di questi allegati, l’infezione viene eseguita in pochi secondi. Trova tutti i file sull’hard disk e sulla rete interna che soddisfano una gamma predefinita di formati. Tutte queste corrispondenze vengono criptati utilizzando un forte AES cipher.
I file codificati sono facili da rilevare: ottengono tutti l’estensione .cerber, e in nomi dei file vengono modificati per non essere riconosciuti. Dando un’occhiata ad una qualsiasi delle cartelle contenente questo tipo di file, l’utente noterà anche le istruzioni per il pagamento del riscatto. Ce ne sono tre in ogni cartella: # Decrypt My Files #.txt, # Decrypt My Files #.html, e # Decrypt My Files #.vbs. Il VBS riproduce un messaggio audio con le istruzioni quando viene aperto, sembra di vedere all’opera un’intelligenza artificiale ma in realtà si tratta solo di qualche linea di di codice.
Il link al gateway Tor indicato nella guida alle ripristino guida verso un sito dal titolo “Cerber Decryptor”. Le vittime possono selezionare la lingua preferita poi procedere verso la parte finanziaria della truffa. La pagina inoltre visualizza un orologio con un conto alla rovescia a 7 giorni prima dell’aumento dell’ammontare del riscatto. Di nuovo, i professionisti della sicurezza non hanno ancora trovato un meccanismo di ripristino file efficiente ad oggi. Però ci sono alcune tecniche che vale la pena provare per tentare di recuperare i dati congelati.
La terminazione di questo ransomware può essere posta al termine in modo efficiente con un software di sicurezza affidabile. Aderire alla tecnica di pulizia automatica assicura che tutti i componenti dell’infezione vengano accuratamente spazzati via dal vostro sistema.
Soluzione Alternativa n°1: Utilizzare un programma per il ripristino dei file
È importante sapere che il virus Decrypt My Files crea delle copie dei vostri file e le cripta. Nel frattempo, i file originali vengono eliminati. Ci sono delle applicazioni sul mercato che possono ripristinare i dati rimossi. Potete utilizzare strumenti come Data Recovery Pro per questo scopo. La versione più recente del ransomware considerato tende ad applicare una eliminazione sicura con diverse sovrascritture, ma in ogni caso vale la pena provare questo metodo.
Soluzione Alternativa n°2: Utilizzare i backup
Per prima cosa, questo è un ottimo modo per recuperare vostri file. Può essere applicato, però, solo se avete effettuato il backup delle informazioni conservate sulla vostra macchina. In questo caso, non esitate a sfruttare la vostra previdenza.
Soluzione Alternativa n°3: Utilizzare Copie Shadow di Volume
In caso non lo sappiate, il sistema operativo crea delle cosiddette Shadow Volume Copies di ogni file fintanto che è attivato il Ripristino di Sistema sul computer. Dato che vengono creati dei punti di ripristino ad intervalli specifici, vengono generate anche delle istantanee dei file così come questi appaiono in quel momento. Tenete in considerazione che questo metodo non assicura il recupero delle versioni più recenti dei vostri file. Certamente però vale la pena provare. Questo flusso di lavoro è attuabile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Di nuovo, la sola rimozione di Cerber non porta alla decriptazione dei vostri file personali. I metodi di ripristino dati evidenziati sopra possono o non possono funzionare, ma il ransomware di per se stesso non può stare sul vostro computer. Incidentalmente, spesso è accoppiato ad altro malware, ed ecco perché ha decisamente senso analizzare ripetutamente il sistema con un software di sicurezza automatico per poter garantire che non ci siano resti nocivi di questo virus e delle minacce associate all’interno del Registro Windows e di altre posizioni.