Το Cerber, το πιο ενεργό ransomware τον περασμένο μήνα, έλαβε μια σημαντική ενημέρωση τις τελευταίες εβδομάδες, σπάζοντας ένα προηγούμενο εργαλείο αποκρυπτογράφησης που επέτρεπε στους χρήστες να ανακτούν τα αρχεία τους δωρεάν, χωρίς να πληρώνουν τα λύτρα.
Το Cerber, το οποίο εμφανίστηκε στις αρχές του 2016, είναι ένα ransοmware κομμάτι που ήταν εύκολο να θυμόμαστε, διότι περιελάμβανε ένα χαρακτηριστικό κατά το οποίο διάβαζε το μήνυμα για τα λύτρα δυνατά σε διάφορες γλώσσες.
Καθώς ο χρόνος περνούσε, αυτό έξυπνο ransοmware έγινε μία από τις πιο κοινές απειλές που έχουμε δει σήμερα, κυρίως επειδή οι ερευνητές δεν κατάφεραν να το σπάσουν και οι απατεώνες άρχισαν να το εμπιστεύονται περισσότερο.
Αυτό συνέβη λίγες εβδομάδες πριν, όταν οι ερευνητές της Trend Micro δημιούργησαν ένα ransomware decrypter για όλες τις χρήσεις, που θα μπορούσε να ανακτήσει τα κρυπτογραφημένα αρχεία που ήταν κλειδωμένα με κάποιες συγκεκριμένες ransomware οικογένειες, συμπεριλαμβανομένων του Cerber.
Από τότε, φαίνεται ότι ο απατεώνας πίσω από Cerber συνέχισε να εργάζεται πάνω στο εργαλείο του, ενημερώνοντάς το για να επιδιορθωθεί αυτή η ρουτίνα κρυπτογράφησης και να σπάσει τον decrypter.
Σύμφωνα με τον Trend Micro ερευνητή, PanicAll, υπήρξαν δύο νέες σημαντικές εκδόσεις στο Cerber, v1.5 και v2.
Η πρώτη άλλαξε τη ρουτίνα κρυπτογράφησης ενώ η δεύτερη άλλαξε την επέκταση που προστίθεντο στο τέλος του κάθε κρυπτογραφημένου αρχείου, που τώρα έγινε .cerber2, αντί του προηγούμενου .cerber.
Τεχνικά, το Cerber v2 χρησιμοποιεί το CryptGenRandom Microsoft API για τη δημιουργία κλειδιών κρυπτογράφησης, τα οποία έχουν τώρα μήκος 32 bytes, αντί για 16 bytes.
Η διαμόρφωση του Cerber v2 εμποδίζει το ransοmware να εκκινηθεί σε υπολογιστές που εκτελούν λογισμικό ασφαλείας όπως τα ArcaBit, ArcaVir, Avast, Bitdefender, BullGuard, CA, Emsisoft, ESET, eTrust, F-Secure, Kaspersky, Lavasoft και TrustPort.
Επιπλέον, το ransοmware δεν θα ξεκινήσει αν εντοπίσει OS γλώσσες για τις ακόλουθες χώρες: Αρμενία, Αζερμπαϊτζάν, Λευκορωσία, Γεωργία, Κιργιστάν, Καζακστάν, Μολδαβία, Ρωσία, Τουρκμενιστάν, Τατζικιστάν, Ουκρανία και Ουζμπεκιστάν.
Η V2 τώρα πλέον στοχεύει 456 τύπους αρχείων για τη ρουτίνα κρυπτογράφησης, η οποία είναι μακράν μια από τις πιο ευρέως διαδεδομένες ransomware παραλλαγές. Το Cerber ενημέρωσε επίσης την ransom οθόνη του, που τώρα μοιάζει κάπως έτσι:
