• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 12

    Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

    Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2. Una nueva variante del ransomware Cerber fue descubierto por panicall , un investigador de seguridad de Trend Micro, que tiene algunos cambios significativos en la forma ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.


      Una nueva variante del ransomware Cerber fue descubierto por panicall, un investigador de seguridad de Trend Micro, que tiene algunos cambios significativos en la forma en que fue programado. Cerber ransomware versión 2 contiene numerosos cambios internos, así como cambios que serán evidentes para la víctima.

      Cambios notables en Cerber v2

      Para la víctima, el cambio más evidente será que los archivos cifrados tendrán ahora la extensión Cerber2 en lugar de .Cerber utilizado anteriormente.


      Los instaladores que he visto hasta ahora para la variante Cerber2 han estado utilizando un icono de juego infantil llamado Anka . Esto muy probablemente cambiará relativamente pronto.


      El fondo de pantalla también ha cambiado a un nuevo fondo que se ve como una pantalla pixelada como se muestra a continuación. Este fondo de pantalla indicará “Sus documentos, fotografías, bases de datos y otros archivos importantes han sido cifrados".


      Por último, pero no menos importante, esta versión elimina posiblemente la debilidad que permitió a Trend Micro descifrar los archivos cifrados con Cerber Decryptor.

      Los cambios internos a Cerber versión 2

      Internamente ha cambiado mucho Cerber con la versión 2. De acuerdo con Panicall, el primer cambio es que el ransomware ahora utiliza un programa de compresión para que sea más difícil de detectar y analizar.

      También cambió la encriptación utilizando ahora CryptGenRandom API de Microsoft para generar la clave. Por otra parte, al ser la clave generada de 32 bytes en lugar de los 16 bytes que utilizaba en las versiones anteriores. Estos cambios quizás sean la razón del porqué Trend Cerber Decryptor no es capaz de descifrar los archivos cifrados de esta versión.

      Una porción de la versión de Cerber 2 config extraído por Panicall está abajo. Una versión completa se puede encontrar aquí. Gracias a Brendon Feeley por compartir el enlace.

      {“av_blacklist”:[“arcabit”,”arcavir”,”avast software”,”bitdefender”,”bitdefender agent”,”bullguard ltd”,”bullguard software”,”ca”,”emsisoft anti-malware”,”escan”,”eset”,”etrust ez armor”,”f-secure”,”g data”,”kaspersky lab”,”lavasoft”,”trustport”] “blacklist”:{“countries”:[“am”,”az”,”by”,”ge”,”kg”,”kz”,”md”,”ru”,”tm”,”tj”,”ua”,”uz”] “check”:{“activity”:0,”av”:0,”country”:1,”language”:1,”vmware”:0},”close_process”:[“excel.exe”,”infopath.exe”,”msaccess.exe”,”mspub.exe”,”onenote.exe”,”outlook.exe”,”powerpnt.exe”,”steam.exe”,”sqlservr.exe”,”thebat.exe”,”thebat64.exe”,”thunderbird.exe”,”visio.exe”,”winword.exe”,”wordpad.exe”] “network”:1,”new_extension”:”.cerber2″,”max_block_size”:2,”max_blocks”:5,”min_file_size”:6,”multithread”:1,”rc4_key_size”:256,”rsa_key_size”:880} “global_public_key”:”LS==”,”
      Cuando probé la muestra, el rango de IP actual que está siendo utilizado por Cerber v2 para sus estadísticas es sobre UDP 31.184.234.0/23.

      La lista de extensiones específicas, borradas por Amigo-A, son las siguientes:

      1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      A casi una semana de descubierta esta nueva versión del ransomware Cerber2, les cuento que se siguen viendo cientos de variantes nuevas cada día, con la particularidad que aun continúan utilizando el icono del juego infantil Anka.


      Y el cambio mas significativo es que aun no hay solución de recuperar los archivos cifrados como si lo hay para la mayoría de los casos de Cerber v1.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Acid-burn
      Registrado
      ago 2016
      Ubicación
      españa
      Mensajes
      2

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Alguna solución que desencripte los archivos y los deje tal cual estaba?

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Cita Originalmente publicado por Acid-burn Ver Mensaje
      Alguna solución que desencripte los archivos y los deje tal cual estaba?
      Lamentablemente hubo una solución, pero duro solo un día hasta que los creadores de CERBER se percataron de la vulnerabilidad que estaba siendo aprovechada por la herramienta descifrado que ofrecía CheckPoint y corrigieron el error dejando toda posibilidad de recuperar los archivos cerrada.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de 8ball
      Registrado
      ago 2016
      Ubicación
      SWE
      Mensajes
      1

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Y ¿qué pasa con ShadowExplorer? Puede ayudar?

    6. #6
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Cita Originalmente publicado por 8ball Ver Mensaje
      Y ¿qué pasa con ShadowExplorer? Puede ayudar?
      Bien gracias

      Al igual que con muchas otras familias ransomware, como parte del proceso de cifrado, CERBER también borrará todas las instantáneas del volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos. CERBER lo hace mediante la ejecución del siguiente comando: vssadmin.exe Delete Shadows /All /Quiet




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de Acid-burn
      Registrado
      ago 2016
      Ubicación
      españa
      Mensajes
      2

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Hola a todos, continuo con el problema del cerber2. Más de 8tb de información encriptados. Como curiosidad decir que vlc el reproductor es capaz de abrir algunos vídeo clips que están encriptados. El codec del vídeo es MPEG-1/2 vídeo (mpgv). Puedo enviar el archivo por si alguien lo quiere analizar. Un saludo

      Otra curiosidad es que algunos mp3 también se reproducen! Reproductor media player clasic hc

    8. #8
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Ransomware Cerber versión 3 liberado, utiliza la extensión .Cerber3.


      En el día de hoy acaban de liberar la version 3 del Ransomware Cerber la cual agrega la extensión ".cerber3" a los archivos cifrados.

      No pareciera tener muchos cambios significativos más que correcciones internas de la programación del malware para seguir teniendo imposible de quebrar el cifrado de los archivos encriptados por este y recordemos que según trascendió recientemente, Cerber recauda un promedio de $ 2 millones de dólares al año con su red de afiliados RaaS.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.259

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Cerber recauda un promedio de $ 2 millones de dólares al año
      Sin tirar un tiro, ni salir de su casa. Negoción! ¿Entre cuántos tendrán que repartir???
      ¿Y el número global de todos los ransomware, cuánto será al cabo del año?

    10. #10
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware Cerber versión 2 Liberado, utiliza la extensión .Cerber2.

      Cita Originalmente publicado por aprenderás Ver Mensaje
      Sin tirar un tiro, ni salir de su casa. Negoción! ¿Entre cuántos tendrán que repartir???
      ¿Y el número global de todos los ransomware, cuánto será al cabo del año?
      El mundo del malware mueve siempre grandes cifras... y más cuando tienen bien aceitado el modelo de negocios como RASS (ransomware-as-a-service) que permite a más gente poder participar en este tipo de delitos por una comisión. Según un informe del FBI en los primeros 3 meses del año ya se estimaban ganancias por $209 millones.

      Cerber RAAS durante el mes de julio el año 2016 genero $ 195.000. El desarrollador de software malicioso recibió aproximadamente $ 78.000 y el resto se dividió entre los afiliados.

      Son números tentadores, aunque siempre terminan cayendo los de más abajo o si cae el principal arrastra al resto.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo