Ransomware nosi nazwę Cerber i szyfruje pliki (takie jak dokumenty, grafikę, pliki wideo, audio oraz archiwa i kopie zapasowe danych) za pomocą 256-bitowego algorytmu AES, a następnie zmienia rozszerzenia ich nazw na .cerber. Potrafi też dodatkowo zaszyfrować udziały sieciowe – i to nawet wtedy gdy nie są zamapowane, czyli przypisane do konkretnej litery napędu.

Po zaszyfrowaniu wybranych zasobów ransomware wyświetla na ekranie komputera nazwy trzech plików w postaci komunikatu " DECRYPT MY FILES ." i dołącza instrukcję jak należy uiścić okup. Są to trzy pliki mające format TXT, HTML i VBS (Visual Basic Scripting).

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Grupa hakerów LockBit unieszkodliwiona

Trzeci plik VBS jest nietypowy, gdyż zawiera kod zamieniający tekst na mowę. W efekcie w chwili otwarcia tego pliku komputer wygłasza krótkie przemówienie informując użytkownika, że pliki zostały zaszyfrowane i ich odszyfrowanie będzie nas niestety kosztować. I to sporo, gdyż 1,24 bitcoin’a, czyli według aktualnego kursu ok. 2 tys. zł).

Jak podaje serwis SenseCy (zajmujący się bezpieczeństwem sieci komputerowych), twórcy oprogramowania Cerber oferują go na jednym z rosyjskojęzycznych prywatnych witryn jako produkt typu RaaS (czyli jako usługę; Ransomware as a Service). Oznacza to, że praktycznie każdy może kupić ransomware i wykorzystać go do swoich niecnych celów. Można się więc liczyć z tym, że w Sieci może się wkrótce pojawić więcej ataków tego typu.