Eset, security house nota per il suo ottimo antivirus Nod32, ha appena segnalato il ritorno di un gran nemico della sicurezza informatica, il ransomware Cerber che, in una sua recente variante, sta colpendo specialmente il nostro Paese, con l’aggravante che – al momento – non v’è modo di recuperare i file presi in ostaggio.
Secondo l’azienda slovacca, il ransomware Cerber – balzato agli onori della cronaca nella scorsa estate – sarebbe tornato a colpire da poco, con la variante “Win32/Filecoder.Cerber.A”, in particolar modo nel nostro Paese, dove – negli ultimi giorni – sta registrando un numero di infezioni crescenti, e ove il target share degli attacchi è già imputabile per il 25% al ransomware in questione.
Analizzate diverse segnalazioni giunte, sembra che Cerber si diffonda sempre alla stessa maniera, tramite download da siti “borderline”, pubblicità compromesse (malvertising), allegati fraudolenti in mail di spam e phishing, etc. Una volta sbarcato sul PC, come di consueto, dopo una scansione, cripterebbe tutti i documenti personali dell’utente individuati tanto in locale (sull’hard disk, o l’SSD), quanto all’interno di una rete informatica.
La criptazione dei file personali avverrebbe secondo l’algoritmo RSA che, utilizzando chiavi a 2.048 o 4.096 bit, renderebbe estremamente difficoltoso, se non impossibile, decodificare e recuperare i file.
Oltretutto, vi sono tre aggravanti di cui tener conto, nell’azione di questa variante di Cerber. Se è vero che i file criptati, con estensione “.cerber” sono facilmente identificabili, è pur vero che non esiste ancora nessun tool che permetta di decodificare i file presi in ostaggio agli utenti del Bel Paese e, in più, non è nemmeno possibile ricorrere all’escamotage di recuperare i file in versione “shadow”, ovvero le copie delle versioni precedenti che taluni software sono soliti fare: il Cerber in questione, infatti, tra le sue tante funzionalità ha anche quella di procedere alla cancellazione di siffatte copie di sicurezza.
Infine, secondo la telemetria di Eset, sembra che la variante di Cerber identificata nel nostro Paese sia in grado di riconoscere la presenza di macchine virtuali, o di sandbox, e che – quindi – si attivi solo nel caso si renda conto di essere eseguita sul computer vero e proprio.
Per questo motivo, è bene fare copia di sicurezza dei propri dati su hard disk esterni, da tenere staccati dal proprio computer, onde potervi far ricorso nei casi di infezione conclamata da Cerber: sempre che non vogliate pagare il relativo riscatto in BitCoin, sia beninteso.