Cerber ransomware, picco di infezioni in Italia

ESET lancia l’allarme: un ransomware già venuto alla ribalta la scorsa estate, sta registrando in queste settimane un picco di infezioni in Italia, unica nazione colpita a livello mondiale.

Cerber ransomware sta letteralmente dilagando nel nostro Paese con un numero di infezioni che cresce di giorno in giorno.

Così come altri ransomware, anche questa nuova variante di Cerber, una volta in esecuzione sul sistema, cifra i file personali degli utenti salvati su dischi fissi, unità SSD, supporti rimovibili, percorsi di rete e chiede di versare una somma in denaro per sbloccare i propri dati.

Stando alla telemetria di ESET Live Grid il ransomware Cerber avrebbe fatto segnare una crescita fino che ha portato il malware al 25% di prevalenza nel giro di qualche settimana (e la tendenza è ancora in aumento).

Affinché il codice del ransomware venga eseguito sul sistema dell’utente, Cerber utilizza le solite tecniche: campagne spam/phishing (che invitano, utilizzando molteplici espedienti, ad aprire l’allegato malevolo), download da siti infetti, installazione mediante altri trojan (vedere Come non prendere virus e malware quando si scaricano programmi).

Win32/Filecoder.Cerber.A – così è stato chiamato Cerber ransomware dai tecnici di ESET – utilizza l’algoritmo di cifratura RSA.
Sebbene non sia stata ancora comunicata la lunghezza della chiave utilizzata, è facile supporre che il ransomware abbia utilizzato almeno 2.048 oppure 4.096 bit.
Recuperare i file crittografati dal ransomware Cerber potrebbe rivelarsi un’operazione quasi impossibile, a meno di “leggerezze” di vario genere commesse in fase di sviluppo del malware.

Al momento, comunque, non esiste un tool di decodifica per la versione di Cerber che sta aggredendo gli utenti italiani.

Una volta in esecuzione, il ransomware Cerber provvede a rinominare con l’estensione .cerber i file crittografati quindi cancella tutte le copie shadow (le “versioni precedenti” degli stessi elementi).

Maggiori dettagli sull’avviso e sulla richiesta di riscatto mostrata da Cerber sono pubblicati a questo indirizzo.

Suggeriamo di tenere d’occhio questa discussione: vi saranno pubblicati tutti gli eventuali aggiornamenti sul rilascio di un tool di decodifica per il ransomware Cerber.