Ransomware Cerber, breve guida per riconoscerlo e prevenirlo

Eccoci, siamo di nuovo qui.

Siamo giunti alla conclusione (retorica chiaramente) che nemmeno in Agosto 2020 il Cyber Crime va in vacanza.

Siamo in piena estate e solo adesso possiamo dire: nuova stagione e nuovi ransomware. In realtà il ransomware di cui vi parleremo non è propriamente un Ransomware nuovo di zecca, ne avrete già sentito parlare.

Ciò che per noi rappresenta (con grande stupore) una novità è il suo modo continuo e instancabile di replicarsi in nuove versioni.

Stiamo parlando di Cerber, non il cane a tre teste della mitologia greca, bensì Cerber Ransomware: il crypto virus che prende in ostaggio i documenti presenti sul computer, li cripta e chiede al proprietario una somma di denaro per la restituzione (che potrebbe anche non avvenire).

Cerber è un virus informatico nato nel 2006. Ad oggi sembra che durante la sua esistenza, Cerber abbia raccolto oltre 7.000.000 di dollari dalle sue vittime, un vero record.

Cerber fa parte di una categoria di infezioni che abbiamo già trattato diverse volte nel nostro blog: i ransomware.

Non ci dilungheremo in spiegazioni tecniche e comprensibili ai pochi, cercheremo piuttosto di farvi comprendere perché un attacco Cerber può considerarsi estremamente fatale per l’integrità del sistema informatico di un’azienda e perché no, persino per le sue finanze.

Cerber rientra a pieno titolo in quello che in italiano si definiscono virus del riscatto (o ransomware in lingua inglese). Questo titolo gli si addice particolarmente perché l’obiettivo di queste infezioni informatiche è proprio quello di entrare nel vostro dispositivo: smartphone, tablet, computer o server (poco importa).

Una volta entrati nel vostro dispositivo, questi virus informatici vi danneggeranno due volte:

• quando prendono in ostaggio i vostri documenti o cartelle rendendoli per voi assolutamente inaccessibili;
• quando vi richiedono una somma di denaro per poterveli restituire. Una vera e propria richiesta di riscatto.

Sappiate, in cuor vostro, che Cerber rientra a pieno titolo in questa categoria. Cerber è un ransomware SaaS, ovvero software-as-a-service. Il significato di questo termine è presto detto; il team di hacker che ha creato Cerber concede la licenza di questo software malevolo ad altri criminali informatici in cambio di denaro.

Ecco per quale motivo Ransomware Cerber si diffonde tra le sue vittime attraverso phishing, annunci pubblicitari e siti web infetti.

Una volta venuti in contatto con uno di questi contenuti, Cerber Ransomware si installa facilmente sul dispositivo dando inizio così ad un attacco.

Una volta entrato nel device, Cerber cripta tutti i file con queste estensioni:

1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts,

e poi ancora

.m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

Come per tutti gli altri ransomware 2020 in circolazione, accorgersi che Cerber ha infettato il vostro dispositivo è molto semplice. Quasi lampante.

Una volta presente sul tuo computer o dispositivo, Cerber ransomware inizierà da subito a crittografare tutti i dati presenti ovvero, li renderà inaccessibili e illeggibili all’utente. Molto semplicemente ti accorgerai di non poter più accedere al documento del flusso di cassa, o persino a quel preventivo sul quale avevi lavorato giorni interi.

Non passerà poi molto tempo e sul vostro device infettato vedrete comparire un messaggio simile a questo.

O simile a questo:

Una caratteristica tipica di un attacco di Cerber Ransomware è che l’importo richiesto dal team di hacker come riscatto aumenta con il passare del tempo. Maggiore sarà il tempo che impiegherete a decidere che cosa fare e come rimediare all’emergenza, maggiore sarà la cifra di riscatto che il ransomware vi richiederà.

Sappiamo con certezza che Cerber è un crypto virus davvero unico nel suo genere perché è in grado di parlare con le sue vittime.

detta così, sembra che l’infezione sul computer vi parli: non è esattamente così ma sappiate che nel file di decrittazione del virus viene allegato un piccolo messaggio vocale in inglese che reciterà la frase: “documenti, database e altri file importanti sono stati crittografati e soltanto un apposito programma potrà de crittografarli!”.

All’inizio del nostro articolo abbiamo parlato delle numerose versioni del Ransomware Cerber attualmente in circolazione. Dalla nascita del crypto virus, nel 2016, gli hacker sviluppatori di Cerber hanno sviluppato ben 5 versioni dello stesso. Di seguito vi riassumiamo brevemente come è cambiato il ransomware negli anni.

Cerber 2

Questa versione aggiornata di Cerber è decisamente più pericolosa dell’originale. I file vengono cifrati con il formato .cerber2 e non esistono software in grado di decriptarli. Le istruzioni di Cerber2 vengono presentate all’utente in formato txt, html e vbs e richiederanno 1,24 Bitcoins di riscatto.

Cerber 3

In questa versione del crypto virus, i file dell’utente vengono sottratti e trasformati con il formato .cerber3. Anche in questo caso Cerber 3 si diffonde tra i malcapitati attraverso l’e-mail. All’utente viene inviata una finta fattura tramite file ZIP; quando l’utente la scarica viene infettato. A differenza delle versioni precedenti, questo ransomware contiene un tipo di crittografia che impediscono agli specialisti cyber security di decrittare i file.

Allo stato attuale non esistono sistemi sicuri al 100% per decriptare cerber3.

Cerber 4 e Cerber 5

Attualmente sono rimaste in circolazioni solo queste due versioni del ransomware. In primis la nuova versione di Cerber a rinominare i file presenti sul vostro computer con nomi incomprensibili (una stringa di 10 caratteri misti a lettere, numeri e caratteri speciali). Persino l’estensione del file viene cambiata come di seguito: a.bed5, .bf05, o .a7b6.

Il secondo cambiamento distinguibile è relativo al file contente le istruzioni per la restituzione dei file criptati. Il file che riceverete prenderà il nome di README.hta, sarà tradotto in 13 lingue diverse e fornisce le istruzioni passo dopo passo per ripristinare i file. Fate attenzione, anche in questo caso le cifre per il riscatto crescono con il passare del tempo. Anche in questo caso, il linguaggio di criptazione dei file è particolarmente complesso e pertanto, difficile da raggirare.

Eccoci finalmente al momento che più preferiamo, quello delle buone notizie. Difendersi da un attacco ransomware (o meglio ancora, da un attacco Cerber) è possibile fin da ora.

Per difendersi dagli attacchi di Cerber, Cerber 2, Cerber 3, Cerber 4, ecc vale sempre la regola del buon senso da parte degli utenti. Ovvero, se seguirete queste 5 e semplici regole ci sarà una buonissima probabilità di sviare gli attacchi dei crypto virus.

• Non aprite le e-mail considerate strane (scritte in italiano maccheronico, con mittenti sconosciuti, che richiedono l’accesso a portali o ce vi promettono soldi facili)
• Non scaricate allegati sconosciuti
• State alla larga dai siti web ricchi di annunci pubblicitari
• Ignorate i banner pubblicitari e pop up
• Eseguite con regolarità gli aggiornamenti di sistemi operativi e applicazioni
• Limitate allo stretto necessario (se non addirittura evitate) l’utilizzo di supporti esterni come chiavette USB, CD, DVD che provengono da fonti non sicure

Come diciamo sempre ai nostri lettori (e i nostri clienti lo sanno bene), per un’efficace protezione anti Cerber ransomware il consiglio è quello di evitare il “la protezione faidate” o “ci pensa un mio amico”. Se siete proprietari di un’azienda, non affidate la protezione del sistema ai qualunquisti: fidatevi solo degli specialisti certificati.

Se avete cercato in rete come eliminare Cerber ransomware, avrete sicuramente trovato software che garantiscono protezione ransomware free o decrypt cerber files free.

Fate molta attenzione alle prossime righe.

Un’azienda che vuole proteggersi dalle infezioni Cerber deve rivolgersi a specialisti cyber security. Pensa a mettere in sicurezza la tua impresa per quanto possibile.. Alla luce di questi risultati, vi avvisiamo: Non fidatevi!

Se ti accorgi di essere stato infettato da Cerber Ransomware come primo step stacca i cavi di rete dal pc o dal device infetto: devi impedire al virus di diffondersi in tutta l’azienda. Fatto questo primo passo, contatta urgentemente un’azienda cyber security.

Solo dei veri specialisti sapranno indicarti il percorso più sicuro per liberarti definitivamente da quest’infezione senza mettere a repentaglio la sicurezza della tua impresa.