Cerber ransomware nuovamente aggiornato, aggiunge a caso le estensioni file

  • -

Cerber ransomware nuovamente aggiornato, aggiunge a caso le estensioni file

cerber

I ricercatori riferiscono che la banda criminale dietro il vizioso Cerber ransomware ha rilasciato una nuova versione della loro minaccia, che include alcune nuove funzionalità.

In primo luogo, il ransomware non aggiunge l’estensione statica “.Cerber3” alla fine di tutti i file crittografati. Invece, utilizza un estenzione random a 4 caratteri. In secondo luogo, questa nuova versione Cerber utilizza un file HTA per la sua richiesta di riscatto. E, ultimo ma non meno importante, il ransomware è ora in grado di terminare i vari processi di database prima di crittografare tutti i file.

Quando la vittima è stata infettato con questa nuova versione e i loro file crittografati, il ransomware non solo modificherà il nome del file, ma sarà anche l’estensione. Ad esempio, un file che era stato precedentemente criptato come “4AgFiBy5no.cerber3”, sarà ora bloccato come “7gFTGmukZM.b91c” o qualcosa casuale come tale.

Questa variante Cerber utilizza un file HTA come richiesta di riscatto, che si chiama “README.hta”. Una volta lanciato, la nota di riscatto appare in una finestra dell’applicazione e mostrare un normale documento di testo.

Il ricercatore di sicurezza BloodDolly aggiunge anche che la versione aggiornata include nuovi processi di database, che vengono chiusi dalla direttiva “close_process” nella configurazione di Cerber. Questo per terminare alcuni processi prima di avviare il processo di crittografia.

I processi che vengono terminati sono i seguenti:

"sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe",
"oracle.exe","ocssd.exe","dbsnmp.exe","synctime.exe","mydesktopqos.exe",
"agntsvc.exeisqlplussvc.exe","xfssvccon.exe","mydesktopservice.exe",
"ocautoupds.exe","agntsvc.exeagntsvc.exe","agntsvc.exeencsvc.exe",
"firefoxconfig.exe","tbirdconfig.exe","ocomm.exe","mysqld.exe",
"mysqld-nt.exe","mysqld-opt.exe","dbeng50.exe","sqbcoreservice.exe"

I processi sono chiusi così per permettere la crittografia di dati che Cerber potrebbe non essere in grado di crittografare con i processi in esecuzione durante la crittografia.

I ricercatori dicono che questa versione aggiornata Cerber invia anche dei pacchetti UDP alla gamma 31.184.234.0/23 a fini statistici.

Ad oggi non esistono tool per il recupero dei dati