Οι προγραμματιστές πίσω από το Cerber ransomware κυκλοφόρησαν την τελευταία δημιουργία τους στο Interwebs, το οποίο πρόκειται για ένα νέο ransomware που ονομάζεται Alfa, όπως αναφέρθηκε στο Bleeping Computer την περασμένη εβδομάδα.
Το Cerber είναι ένα από τα πιο “δραστήριες” και διαδεδομένες οικογένειες ransomware σήμερα, μαζί με τα Locky, CryptXXX και Jigsaw. Οι ερευνητές ασφάλειας δεν έσπασαν την κρυπτογράφησή του, γι’ αυτό είναι πολύ περίεργο να βλέπουμε την ομάδα να δημιουργεί μια νέα και διαφορετική εκδοχή χωρίς κάποιον προφανή λόγο.
Από τη στιγμή που το Alfa είναι νέο στον χώρο των ransomware , οι ερευνητές ασφάλειας εξακολουθούν να μην γνωρίζουν πώς εξαπλώνεται αυτή η απειλή, αλλά έχουν επίγνωση του ότι το Alfa συνδέεται με τους προγραμματιστές του Cerber και ότι διαθέτει μια πολύ δυνατή κρυπτογράφηση που επί του παρόντος δεν μπορεί να σπάσει.
Ακριβώς όπως και οι περισσότερες ransomware οικογένειες σήμερα, έτσι και το Alfa κρυπτογραφεί τα αρχεία χρηστών και προσθέτει μια επέκταση στο τέλος του αρχείου. Μπορείτε να αναγνωρίσετε τις Alfa ransomware μολύνσεις από την επιπλέον επέκταση .bin που προσθέτει σε κρυπτογραφημένα αρχεία.
Το ransomware στοχεύει 142 διαφορετικούς τύπους αρχείων και μετά το τέλος της διαδικασίας κρυπτογράφησης, εμφανίζει κείμενο και σημειώματα με βάση την HTML για λύτρα στην επιφάνεια εργασίας του χρήστη και όχι μόνο.
Το σημείωμα για λύτρα δεν είναι σωστά διατυπωμένο και ίσως χρειάζεται λίγη δουλειά. Επιπλέον, το σημείωμα για λύτρα χρησιμοποιεί τον όρο “Alpha” αντί για Alfa, ο οποίος χρησιμοποιείται μόνο στην Tor-based ιστοσελίδα όπου ειπώθηκε στους χρήστες να πάνε για να αποκρυπτογραφήσουν τα αρχεία τους.
Το όνομα Alfa ransomware κατά πάσα πιθανότητα θα χρησιμοποιηθεί σε μελλοντικές εκδόσεις επειδή υπήρχε ήδη ένα Alpha ransomware που εμφανίστηκε στις αρχές του Μαΐου το 2016, για το οποίο οι ερευνητές ασφαλείας δημιούργησαν ένα δωρεάν Decrypter.
Οι προγραμματιστές του Cerber πιθανότατα θα θέλουν να αποστασιοποιηθούν από τον όρο «Alpha ransomware» όσο το δυνατόν περισσότερο, δεδομένου ότι μπορεί να μην θέλουν τα θύματα να νομίζουν ότι μπορούν να ανακτήσουν τα αρχεία τους μετά από μια αναζήτηση στη Google με το όνομα του ransomware. Το Alfa ζητά 1 Bitcoin (~ $650) από κάθε μολυσμένο χρήστη.
