Questo Ransomware cripta i tuoi file e poi ti legge il messaggio di riscatto

Dalla Russia con Amore : Il Ransomware Cerber prima cripta i tuoi file e poi legge il messaggio di riscatto

Gli autori di malware sono noti per essere un gruppo ingegnoso e fidati di loro per creare un Ransomware che legge effettivamente il messaggio di riscatto alla vittima.

Cerber è un ransomware recente che cripta i file della vittima target e poi fornisce una funzione TTS (text-to-speech) che legge il messaggio di riscatto.

Il ransomware è stato scoperto da due ricercatori di sicurezza indipendenti, @BiebsMalwareGuy e @MeegulWorth, ed è stato analizzato dai ricercatori di Bleeping Computer e Malwarebytes.

Il Cerber è stato analizzato per la prima volta la scorsa settimana dai ricercatori di sicurezza di SenseCy. I ricercatori di SenseCy hanno dichiarato che Cerber è scritto da programmatori russi che lo pubblicizzano e lo vendono come un servizio RaaS su forum di hacking sotterranei in Russia.

Il Ransomware-as-a-Service (RaaS) è un nuovo modello di business che sta crescendo rapidamente in Russia. Sotto RaaS, i programmatori di malware forniscono un Ransomware completamente codificato per una somma fissa ai criminali informatici che poi lo distribuiscono tramite campagne di spam e spear-phishing. Gli autori prendono una piccola percentuale solo quando la vittima paga il riscatto.

Cerber è un Ransomware unico sotto molti aspetti. Una delle qualità di Cerber è che evita i paesi di lingua russa. I ricercatori hanno affermato che il codice di Cerber indica che è stato specificamente costruito per evitare infezioni di utenti che vivono nei paesi ex sovietici.

Un altro inghippo nelle operazioni di Cerber è il fatto che, prima di criptare i file, il ransomware mostra un messaggio di errore attraverso il quale inganna l’utente a riavviare il computer. Il ransomware costringe il PC a riavviarsi in “Modalità Sicura con Rete” e poi riavvia forzatamente il computer di nuovo in modalità normale.

Dopo questo riavvio forzato, Cerber inizia a criptare i file con un algoritmo AES. Il ransomware prende di mira 380 tipi di file e durante il processo di crittografia, mescola i nomi dei file e aggiunge l’estensione .cerber alla fine. Una volta che Cerber prende il controllo del PC della vittima, aggiunge tre note in formato testo, HTML e VBS in ciascuna delle cartelle dove ha criptato i dati. Quando la vittima clicca sulla nota, Cerber reciterà il messaggio di riscatto all’utente.

Il messaggio di riscatto richiede 1.24 Bitcoin ($520 / €475), una somma che raddoppia dopo la prima settimana. Come al solito, gli utenti devono pagare il riscatto in Bitcoin tramite un URL del Dark Web (dominio .onion).

Cerber è attualmente indecrittabile.