Ogni attacco ransomware è accompagnato da un certo numero di indicatori distinti di compromisssione, unici per i vari tipi di minacce in grado di criptare i file. Per prima cosa, queste includono lo scambio di chiavi di captazione, l’estensione aggiunta ai file delle vittime, e cose come note di riscatto che forniscono istruzioni agli utenti infetti sul recupero dati. Se quest’ultimo IOC coinvolge un set di documenti dal nome “Decrypt My Files” nei formati TXT, HTML e VBS, allora il colpevole è il Trojan Cerber ransom.
Il blocco dei progressi dei ransomware ad oggi è un’utopia e sicuramente non avverrà in un prossimo futuro, dato che la redditività senza paragoni di queste minacce per i protagonisti del cyber crimine è tutt’altro che trascurabile. Abbiamo visto una rapida espansione dei crypto virus che si spostano verso un modello di affiliazione, mossa che molti esperti avrebbero ritenuto irrealistica solo pochi mesi fa. Ed ora, l’ultimo ritrovato della tecnica è il ransomware che parla. Questa funzionalità è incorporata nel codice di Cerber, un nuovo arrivato nel dominio dell’estorsione digitale. Il Trojan cripta i file delle sue prede oltre la capacità di ripristino normale ed offre loro la possibilità di riscattare i dati inviando 1,24 Bitcoins verso i portafogli sicuri dei criminali. Per quanto possa sembrare duro da accettare, pagare gli oltre $ 500 del riscatto è sfortunatamente l’unico modo affidabile per riaccendere ai propri file personali colpiti.
Il modo in cui viene promosso Cerber dipende da chi è coinvolto nella sua distribuzione. Ecco come funziona – si tratta di una delle campagne Ransomware as a Service, o RaaS. Ciò significa che persone a caso con cattive intenzioni possono ottenere il codice di questo malware da certe risorse darknet e di conseguenza condividere i stati ricevuti con lo sviluppatore. Il modo più diffuso per diffondere questi virus e attraverso e-mail e di phishing con archivi ad estrazione automatica in allegato. Quando viene aperto uno di questi allegati, l’infezione viene eseguita in pochi secondi. Trova tutti i file sull’hard disk e sulla rete interna che soddisfano una gamma predefinita di formati. Tutte queste corrispondenze vengono criptati utilizzando un forte AES cipher.
I file codificati sono facili da rilevare: ottengono tutti l’estensione .cerber, e in nomi dei file vengono modificati per non essere riconosciuti. Dando un’occhiata ad una qualsiasi delle cartelle contenente questo tipo di file, l’utente noterà anche le istruzioni per il pagamento del riscatto. Ce ne sono tre in ogni cartella: # Decrypt My Files #.txt, # Decrypt My Files #.html, e # Decrypt My Files #.vbs. Il VBS riproduce un messaggio audio con le istruzioni quando viene aperto, sembra di vedere all’opera un’intelligenza artificiale ma in realtà si tratta solo di qualche linea di di codice.
Il link al gateway Tor indicato nella guida alle ripristino guida verso un sito dal titolo “Cerber Decryptor”. Le vittime possono selezionare la lingua preferita poi procedere verso la parte finanziaria della truffa. La pagina inoltre visualizza un orologio con un conto alla rovescia a 7 giorni prima dell’aumento dell’ammontare del riscatto. Di nuovo, i professionisti della sicurezza non hanno ancora trovato un meccanismo di ripristino file efficiente ad oggi. Però ci sono alcune tecniche che vale la pena provare per tentare di recuperare i dati congelati.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che .cerber ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione .cerber elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da .cerber sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di .cerber non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che .cerber sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.