Non sono state apportate modifiche straordinarie al prolifico Ransomware Cerber nel corso dell’ultimo aggiornamento. Fa ancora leva sullo stesso forte cripto sistema per bloccare i file di una vittima. Come prima, cambia lo sfondo del desktop trasformandolo in un’immagine grigiastra con pixel e casuali e un qualche testo di avvertimento in un fondo verde. Le peculiarità di circolazione inoltre sono rimaste intatte, dato che il loro metodo è provato e testato. Sono però stati applicati alcuni cambiamenti notevoli.
Nonostante gli sviluppatori di Cerber abbiano a quanto pare deciso di non reinventare la ruota e modificare ciò che funzionava perfettamente, la nuova quarta edizione presenta un certo numero di tratti che la rendono distinguibile dai suoi tre predecessori. La prima differenza che salta all’occhio è che l’infezione è passata all’utilizzo di estensioni casuali consistono di quattro caratteri esadecimale. Le estensioni perciò assumono una forma simile a.bed5, .bf05, o .a7b6. Queste stringhe vengono generate in maniera unica per ogni vittima. Proprio come l’iterazione precedente di questa piaga, la versione in questione mescola i nomi file e li sostituisce con 10 simboli che non condividono nulla dei valori originali. Alla fine, un normale nome file del tipo rapporto.docx si trasformerà in qualcosa di simile a pRvLk9osB0.bed5.
Un’altra distinzione notevole è nella nota di riscatto. Mentre il predecessore creava tre copie delle istruzioni di recupero, ossia # HELP DECRYPT #.html (.url, .txt), la variante più recente del Cerber Ransomware scarica solo un file di nome README.hta nelle cartelle contenenti i dati cifrati e sul desktop. Questo manuale comprende la selezione della lingua fra le 13 disponibili e fornisce delle istruzioni terra terra su come ripristinare i file vistosamente criptati. Si legge, “Non riesci a trovare i file necessari? Il contenuto dei tuoi file non è leggibile? È normale perché i nomi dei file e i dati contenuti nei tuoi file sono stati criptati da Cerber Ransomware.” poi c’è una parte la quale afferma che i dati non sono danneggiati e la modifica è reversibile.
Secondo il file README.hta, questo strumento speciale chiamato Cerber Decryptor rappresenta l’unico modo per decriptare in sicurezza i file. Alla vittima viene comunicato di acquistare questa software sulla loro pagina personale. Per motivi di sicurezza, la pagina è protetta da Tor, o The Onion Router, per cui l’utente infetto dovrà prima scaricare e installare il Tor Browser. Anche la pagina di Cerber Decryptor presenta lo script per la selezione della lingua e una funzionalità di verifica grafica. Una volta effettuato l’accesso, la vittima vedrà nuovamente un generale messaggio di avviso, l’importo del riscatto da inviare, un timer con il conto alla rovescia e l’indirizzo Bitcoin dei criminali verso il quale inviare i pagamenti. Entro i primi cinque giorni, il riscatto ammonta a 0.1394 BTC, o circa $ 84. Dopo cinque giorni, il prezzo raddoppia raggiungendo quota 0.2788 BTC, o $ 169.
Il testo del desktop impostato dalla versione aggiornata di Cerber Ransomware essenzialmente duplica le istruzioni fornite dalla nota di riscatto README.hta e sulla pagina di decrittazione personale. Elenca diversi URL temporanei Tor su cui visitare il sito di recupero dedicato. Tutto sommato, l’ultimo aggiornamento non ha introdotto sofisticazioni apprezzabili a questa fastidiosa minaccia. È sempre lo stesso Cerber con la crittografia incorruttibile e una robusta infrastruttura Command and Control. Anche se il recupero dei file criptati potrebbe essere fattibile in molti casi solo pagando il riscatto, certamente non fa male provare un paio di tecniche di ripristino aggiuntive.
La terminazione di questo ransomware può essere portata a termine in modo efficiente con un software di sicurezza affidabile. Aderire alla tecnica di pulizia automatica assicura che tutti i componenti dell’infezione vengano accuratamente spazzati via dal vostro sistema.
Soluzione Alternativa n°1: Usare un software di ripristino file
È importante sapere che il virus Odin files crea delle copie dei vostri file e le cripta. Nel frattempo, i file originali vengono eliminati. Ci sono delle applicazioni sul mercato che possono ripristinare i dati rimossi. Potete utilizzare strumenti come Data Recovery Pro per questo scopo. La versione più recente del ransomware considerato tende ad applicare una eliminazione sicura con diverse sovrascritture, ma in ogni caso vale la pena provare questo metodo.
Soluzione Alternativa n°2: Usare i backup
Per prima cosa, questo è un ottimo modo per recuperare vostri file. Può essere applicato, però, solo se avete effettuato il backup delle informazioni conservate sulla vostra macchina. In questo caso, non esitate a sfruttare la vostra previdenza.
Soluzione Alternativa n°3: Usare Copie Shadow Volume
In caso non lo sappiate, il sistema operativo crea delle cosiddette Shadow Volume Copies di ogni file fintanto che è attivato il Ripristino di Sistema sul computer. Dato che vengono creati dei punti di ripristino ad intervalli specifici, vengono generate anche delle istantanee dei file così come questi appaiono in quel momento. Tenete in considerazione che questo metodo non assicura il recupero delle versioni più recenti dei vostri file. Certamente però vale la pena provare. Questo flusso di lavoro è attuabile in due modi: manualmente e attraverso l’uso di una soluzione automatica. Diamo prima un’occhiata al processo manuale.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Di nuovo, la sola rimozione del malware non porta alla decriptazione dei vostri file personali. I metodi di ripristino dati evidenziati sopra possono o non possono funzionare, ma il ransomware di per se stesso non può stare sul vostro computer. Incidentalmente, spesso è accoppiato ad altro malware, ed ecco perché ha decisamente senso analizzare ripetutamente il sistema con un software di sicurezza automatico per poter garantire che non ci siano resti nocivi di questo virus e delle minacce associate all’interno del Registro Windows e di altre posizioni.
Scarica lo strumento di rimozione del virus Ransomware Cerber (Readme.hta)