• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Cerber ransom cambia a una extensión aleatoria y finaliza procesos de base de datos

    Cerber ransomware cambia a una extensión aleatoria y finaliza procesos de base de datos La semana pasada, una nueva versión de Cerber ransomware fue lanzado que incluye algunas características nuevas. El cambio más notable es ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.335

      Cerber ransom cambia a una extensión aleatoria y finaliza procesos de base de datos

      Cerber ransomware cambia a una extensión aleatoria y finaliza procesos de base de datos


      La semana pasada, una nueva versión de Cerber ransomware fue lanzado que incluye algunas características nuevas. El cambio más notable es el cambio de la estática .Cerber3 extensión para archivos cifrados a una extensión aleatoria de 4 caracteres, el uso de un archivo de HTA como la nota de rescate, y la terminación de los distintos procesos de base de datos antes del cifrado.

      Con esta versión, cuando se cifran los archivos de la víctima, no sólo será revuelto el nombre del archivo, pero la extensión será reemplazado también. Esto significa que un archivo que se cifró previamente como 5NgPiSr5zo.cerber3, ahora se cifra para un nombre como 1xQHJgozZM.b71c.

      Esta versión también incluye una nueva nota de rescate llamado README.hta. Cuando se inicia, la nota de rescate aparecerá en una ventana de la aplicación y mostrar la nota normal de rescate. Un ejemplo del archivo README.hta se puede encontrar a continuación.


      archivo Readme.hta


      De acuerdo con el investigador de seguridad BloodDolly, esta actualización también incluye la adición de nuevos procesos de bases de datos que están cerrados por el close_process directiva en la configuración de Cerber. Esta directiva indica a Cerber de terminar ciertos procesos antes de que comience el cifrado. La directiva y la lista actual de los procesos que se están terminados son:

      "close_process":
      {
      "close_process":1,
      "process":["msftesql.exe","sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe","oracle.exe","ocssd.exe","dbsnmp.exe","synctime.exe","mydesktopqos.exe","agntsvc.exeisqlplussvc.exe","xfssvccon.exe","mydesktopservice.exe","ocautoupds.exe","agntsvc.exeagntsvc.exe","agntsvc.exeencsvc.exe","firefoxconfig.exe","tbirdconfig.exe","ocomm.exe","mysqld.exe","mysqld-nt.exe","mysqld-opt.exe","dbeng50.exe","sqbcoreservice.exe"]
      },
      Estos procesos se cierran con el fin de permitir a los archivos de datos de los procesos que se cifren. Si los procesos se están ejecutando durante el cifrado, los archivos de datos correspondientes no podrán ser accesibles para el cifrado por Cerber.

      Por último, esta versión de Cerber ransomware continúa enviando paquetes UDP a la gama 31.184.234.0/23 con fines estadísticos.





      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.915

      Re: Cerber ransom cambia a una extensión aleatoria y finaliza procesos de base de dat

      Luego de que CERBER viniera utilizando las extensiones .cerber, .cerber2, y .cerber3, muchos esperabamos que la próxima versión que veríamos seria .cerber4, pero con el sistema aleatorio parecen haber cambiado completamente su sistema.

      En principio parecía que podría tratarse de una versión no-oficial de este servicio de RaaS (Ransomware-as-a-Service) pero inmediatamente ya todas las campañas activas a partir del día 3 de octubre -cuando este se descubrió-, comenzaron a utilizar el cifrado con 4 caracteres aleatorios como extensión para los archivos.



      Recordemos que este ransomware CERBER sigue siendo uno de los de mayor difusión (junto con Locky) y hasta el momento no hay solución (descifrador) disponible para recuperar los archivos encriptados.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.