CryptoCerber come si manifesta...
|
Per ora sembra che il CryptoCerber sia diffuso attraverso siti compromessi, la navigazione su tali siti comporterebbe l'infezione e quindi l'esecuzione di questa nuova variante.
Nome file: makecab.exe
MD5: 76dcde9e79f291a40276d402ad1e20b0
Dimensione: 152543 byte
TimeStamp: 20/03/2016 09.25.56
|
|
Quando viene eseguito il CryptoCerber, il file portatore viene spostato dalla cartella corrente %appdata% dell'utente con nome makecab.exe Questo file viene messo in esecuzione automatica in vari modi:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[makecab] = %appdata%\Roaming\{2FC5AFB6-1BDA-FA2C-4A7C-3BC9BCCA37EE}\makecab.exe
HKEY_CURRENT_USER\Control Panel\Desktop
[SCRNSAVE.EXE] = %appdata%\Roaming\{2FC5AFB6-1BDA-FA2C-4A7C-3BC9BCCA37EE}\makecab.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor
[AutoRun] = %appdata%\Roaming\{2FC5AFB6-1BDA-FA2C-4A7C-3BC9BCCA37EE}\makecab.exe
I file cifrati avranno nome casuale con estensione .cerber:
Al termine della cifratura vengono rilasciati le istruzione del riscatto nel file "
# DECRYPT MY FILES #.txt":
C E R B E R
-----------
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software – "Cerber Decryptor".
For more specific instructions, please visit your personal home page, there are a few
different addresses pointing to your page below:
---------------------------------------------------------------------------------------
1. http://decrypttozxybarc.dconnect.eu/54A0-7C12-B1E9-004E-XXXX
2. http://decrypttozxybarc.tor2web.org/54A0-7C12-B1E9-004E-XXXX
3. http://decrypttozxybarc.onion.cab/54A0-7C12-B1E9-004E-XXXX
4. http://decrypttozxybarc.onion.to/54A0-7C12-B1E9-004E-XXXX
5. http://decrypttozxybarc.onion.link/54A0-7C12-B1E9-004E-XXXX
---------------------------------------------------------------------------------------
If for some reasons the addresses are not available, follow these steps:
---------------------------------------------------------------------------------------
1. Download and install the "Tor Browser" from https://www.torproject.org/
2. Run it
3. In the "Tor Browser" open website:
http://decrypttozxybarc.onion/54A0-7C12-B1E9-004E-XXXX
4. Follow the instructions at this website
---------------------------------------------------------------------------------------
"...Quod me non necat me fortiorem facit."
|
Da notare la fase in latino lasciata dagli autori del crypto-malware di cattivo presagio: "
...Quod me non necat me fortiorem facit" (c
iò che non mi uccide, mi rende più forte).
Istruzioni del riscatto in formato html nel file "# DECRYPT MY FILES #.html":
Inoltre il CryptoCerber crea il seguente file "# DECRYPT MY FILES #.vbs" in VBScript:
Questo script permette al Cerber di parlare alla sua vittima, come si può ascoltare dal seguente file audio: "DECRYPT MY FILES.mp3"
Torna ad inizio pagina
Il riscatto richiesto da CryptoCerber
I file che vengono crittati da CryptoCerber per essere decrittografati necessitano del pagamento di un riscatto di circa 1000 dollari in BitCoin se viene pagato entro 5 giorni, altrimenti raddoppia a 2000 dollari in Bitcoin.
Come proteggersi da CryptoCerber
Come regola generale, non bisogna mai dimenticarsi, che dietro ogni link o ogni allegato di ogni mail può celarsi un malware. Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro. Se distrattamente abbiamo eseguito l'allegato che scatena l'inferno della varianti di CryptoCerber e siano clienti Vir.IT eXplorer PRO abbiamo più di qualche probabilità di salvare i nostri preziosi dati dalla crittografazione!
Come già segnalato la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, ha retto egregiamente a questi attacchi riuscendo a salvare dalla crittografazione fino al 99,63% dei file e permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie alle tecnologie di BackUp integrate:
- BackUp-On-The-Fly;
- Vir.IT Backup.
Dato per ragionevolmente certa la corretta:
- INSTALLAZIONE;
- AGGIORNAMENTO sia delle Firme sia del Motore;
- CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.
Torna ad inizio pagina
Come comportarsi per mitigare i danni derivanti da CryptoCerber
Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus;
- SCOLLEGARE IL CAVO DI RETE ==> In questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
- NON RIAVVIARE IL COMPUTER ==> E' bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 8:30-12:30 e 14:30-18:30.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa
|
Posso recuperare i file cifrati ?
Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da Cerber saranno al più qualche decina.
I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup, attualmente non vi sono tool per il recupero dei file .cerber.
Considerazioni finali
|
Naturalmente invitiamo tutti a fare molta attenzione nell'aprire/eseguire gli allegati delle mail, anche se arrivano da un mittente noto o la navigazione su siti poco raccomandabili.
Segnaliamo di controllare preventivamente l'indirizzo e-mail del mittente prima di azzardarvi ad aprire/eseguire l'allegato.
|
| |
| |
Nel caso abbiate aperto/eseguito l'allegato e/o si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:
- siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
- NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, in ogni caso varrà la pena, sempre e comunque, procedere a:
- SCOLLEGARE il CAVO di RETE LAN;
- NON RIAVVIARE il PC / SERVER di modo da limitare il numero di chiavi di crittografazione diverse attraverso le quali, ad ogni riavvio, vengono crittografati i file rimanenti. In questo modo, limiterete il costo dell'eventuale riscatto nel caso doveste decidere di effettuare il pagamento, scelta assolutamente sconsigliata.
Sia che vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, sia nel caso 2., vi invitiamo a mantenere la calma.
TG Soft
Relazioni Esterne
