Ricercatori di sicurezza informatica hanno scoperto un nuovo ceppo della famiglia di malware Cerber soprannominato Aggiornato Red Cerber 2017 ransomware che è già stato utilizzato in attacchi dal vivo. La nostra guida rimozione vi darà i dettagli tecnici relativi alla nuova minaccia e vi mostrerà come rimuovere facilmente le infezioni esistenti e proteggersi da eventuali attacchi.

Aggiornato Red Cerber 2017 ransomware Descrizione

La minaccia Cerber non è finita. Il virus è stato una delle famiglie di malware più popolari e dei suoi pericoli continuare a crescere. Ora i ricercatori di sicurezza hanno scoperto un nuovo ceppo conosciuto come il Aggiornato Red Cerber 2017 ransomware.

Al momento l’infezione con il contagocce payload binario il ransomware viene scaricato sul computer locale. Poi il modello usuale comportamento viene attivato. I file di download contagocce che assomigliano dati di sistema e file normali. Si modificano le impostazioni del sistema operativo Windows e di creare nuovi processi per creare un ambiente persistente.

Più file vengono eliminati sul computer host e Cerber modifica il host di script wscript.exe di modificare i file importanti nella cartella% System32% e%% directory di Microsoft. Alcuni di essi sono i seguenti: Rsaenh.dll, WScript.exe, WScript.exe.mui, sortdefault.nls, wshom.ocx, Stdole2.tlb, KERNELBASE.dll.mui, msxml3.dll.

La versione aggiornata di Red Cerber 2017 ransomware è constatato che non elimina le copie shadow del volume dell’ospite infettato. Ciò significa che il recupero dati utilizzando un software adatto è possibile.

Non ci sono modifiche alla solita nota ransomware che visualizza ancora lo stesso contenuto:

CERBER RANSOMWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED1

The only way to decrypt your files is to receive
the private key and decryption program.

To receive the private key and decryption program
go to any decrypted folder – inside there is the special file (*README*)
with complete instructions how to decrypt your files.

If you cannot find any (*README*) file at your PC,
follow the instructions below:

1. Download “Tor Browser” from https://www.torproject.org/ and install it.
2. In the “Tor Browser” open your personal page:

http://p27dokhpz2n2nvgr.onion/DC91-E730-12F8-0095-7496

Note! This page is available via “Tor browser” only.

Esempio Red Cerber 2017 ransomware Infezione

Al momento l’infezione il malware assegna un ID personalizzato per l’host di destinazione. Questa associato ogni computer vittima con un proprio significato chiave di cifratura privata che un decryptor universale sarebbe molto difficile da fare.

Il motore di crittografia incorporato utilizza un forte cifrario AES che è infrangibile senza l’uso di un supercomputer. computer infetti dovrebbero ricorrere all’uso di uno strumento anti-spyware di fiducia per mitigare gli effetti del virus e proteggersi in ogni attacchi futuri.

E ‘noto che la famiglia ransomware Cerber rivolge i tipi di file più usati – tutti i tipi di dati multimediali (foto, video, musica), database, documenti d’ufficio ed ecc

Vorremmo darvi un esempio di un attacco vero e proprio. Un computer vittima è stato infettato con il Aggiornato Red Cerber 2017 ransomware sforzo e ha ricevuto l’estensione .ba99.

Ecco come i file sono stati colpiti:

C:\eula.txt to asdq23rvsa.ba99
C:\mydocument.doc to vepr124zac.ba99
C:\mydocument.docx to qsa04pr0ht.ba99
C:\examplefile.hwp to oqcft9b0ra.ba99
C:\documentfile.pdf to zo59cxorp1.ba99
C:\mybandmusic.mp3 to nekq4m69bf.ba99
C:\presentation.pptx to 75xodjaqcp.ba99
C:\thefinvoces.xls to 0ho2pajwvp.ba99

Aggiornato Red Cerber 2017 ransomware distribuzione

Il Cerber utilizza la combinazione di Rig (versione RIG-V) exploit kit e il payload contagocce Nemucod (noto anche come il downloader Nemucod).

Queste due utilità di hacking utilizzano messaggi e-mail di spam che vengono inviati in massa per infettare le vittime utilizzando i file .JS. Essi sono celati per apparire documenti legittimi, dichiarazioni finacial o altri tipi di dati che l’utente può accedere.

In alcuni dei campioni di malware catturati i file maligni sono stati inseriti in archivi quali .rar o .zip. Gli operatori criminali del nuovo ceppo Cerber hanno usato il trucco di social engineering di mettere la password nel corpo del testo di apparire come un e-mail legittime.

Altre fonti di infezione includono installatori software infetto e contraffatti, giochi e gli aggiornamenti scaricati da siti di download non attendibili o tracker BitTorrent.

Fonte: Updated Red Cerber 2017 Ransomware Virus (Removal Steps and Protection Updates)