Table of Contents
Non sono state apportate modifiche straordinarie al prolifico Ransomware Cerber nel corso dell’ultimo aggiornamento. Fa ancora leva sullo stesso forte cripto sistema per bloccare i file di una vittima. Come prima, cambia lo sfondo del desktop trasformandolo in un’immagine grigiastra con pixel e casuali e un qualche testo di avvertimento in un fondo verde. Le peculiarità di circolazione inoltre sono rimaste intatte, dato che il loro metodo è provato e testato. Sono però stati applicati alcuni cambiamenti notevoli.
Nonostante gli sviluppatori di Cerber abbiano a quanto pare deciso di non reinventare la ruota e modificare ciò che funzionava perfettamente, la nuova quarta edizione presenta un certo numero di tratti che la rendono distinguibile dai suoi tre predecessori. La prima differenza che salta all’occhio è che l’infezione è passata all’utilizzo di estensioni casuali consistono di quattro caratteri esadecimale. Le estensioni perciò assumono una forma simile a.bed5, .bf05, o .a7b6. Queste stringhe vengono generate in maniera unica per ogni vittima. Proprio come l’iterazione precedente di questa piaga, la versione in questione mescola i nomi file e li sostituisce con 10 simboli che non condividono nulla dei valori originali. Alla fine, un normale nome file del tipo rapporto.docx si trasformerà in qualcosa di simile a pRvLk9osB0.bed5.
Un’altra distinzione notevole è nella nota di riscatto. Mentre il predecessore creava tre copie delle istruzioni di recupero, ossia # HELP DECRYPT #.html (.url, .txt), la variante più recente del Cerber Ransomware scarica solo un file di nome README.hta nelle cartelle contenenti i dati cifrati e sul desktop. Questo manuale comprende la selezione della lingua fra le 13 disponibili e fornisce delle istruzioni terra terra su come ripristinare i file vistosamente criptati. Si legge, “Non riesci a trovare i file necessari? Il contenuto dei tuoi file non è leggibile? È normale perché i nomi dei file e i dati contenuti nei tuoi file sono stati criptati da Cerber Ransomware.” poi c’è una parte la quale afferma che i dati non sono danneggiati e la modifica è reversibile.
Secondo il file README.hta, questo strumento speciale chiamato Cerber Decryptor rappresenta l’unico modo per decriptare in sicurezza i file. Alla vittima viene comunicato di acquistare questa software sulla loro pagina personale. Per motivi di sicurezza, la pagina è protetta da Tor, o The Onion Router, per cui l’utente infetto dovrà prima scaricare e installare il Tor Browser. Anche la pagina di Cerber Decryptor presenta lo script per la selezione della lingua e una funzionalità di verifica grafica. Una volta effettuato l’accesso, la vittima vedrà nuovamente un generale messaggio di avviso, l’importo del riscatto da inviare, un timer con il conto alla rovescia e l’indirizzo Bitcoin dei criminali verso il quale inviare i pagamenti. Entro i primi cinque giorni, il riscatto ammonta a 0.1394 BTC, o circa $ 84. Dopo cinque giorni, il prezzo raddoppia raggiungendo quota 0.2788 BTC, o $ 169.
Il testo del desktop impostato dalla versione aggiornata di Cerber Ransomware essenzialmente duplica le istruzioni fornite dalla nota di riscatto README.hta e sulla pagina di decrittazione personale. Elenca diversi URL temporanei Tor su cui visitare il sito di recupero dedicato. Tutto sommato, l’ultimo aggiornamento non ha introdotto sofisticazioni apprezzabili a questa fastidiosa minaccia. È sempre lo stesso Cerber con la crittografia incorruttibile e una robusta infrastruttura Command and Control. Anche se il recupero dei file criptati potrebbe essere fattibile in molti casi solo pagando il riscatto, certamente non fa male provare un paio di tecniche di ripristino aggiuntive.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che Cerber 4 ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione Cerber 4 elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da Cerber 4 sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di Cerber 4 non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che Cerber 4 sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.