• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Cerber ransomware 4.10 muestra ahora el número de versión en Ransom Notes

    Cerber ransomware 4.10 muestra ahora el número de versión en Ransom Notes Cerber ransomware 4.1.0 fue lanzado recientemente que ahora muestra su número de versión de la nota de rescate utilizado como fondo de escritorio ...

          
    1. #1
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.326

      Cerber ransomware 4.10 muestra ahora el número de versión en Ransom Notes

      Cerber ransomware 4.10 muestra ahora el número de versión en Ransom Notes



      Cerber ransomware 4.1.0 fue lanzado recientemente que ahora muestra su número de versión de la nota de rescate utilizado como fondo de escritorio de Windows. En el pasado, la única manera de determinar la versión de la variante de instalación Cerber fue examinar la extensión adjunta a los archivos cifrados. Ahora bien, esta información está fácilmente disponible en la nota de rescate como se ve a continuación.



      Al igual que la versión anterior que escribió acerca a principios de octubre, esta versión sigue utilizando una extensión para los archivos cifrados que se basa apagado de valor MachineGuid de la computadora de la clave de registro HKLM \ Software \ Microsoft \ Cryptography. De acuerdo con Fortinet :


      Cerber marca los archivos cifrados con una extensión específica. En las versiones anteriores (Cerber 2 y 3), los archivos cifrados fueron marcados con .cerber2 y .cerber3, respectivamente. Para esta versión, los archivos cifrados están marcados con una extensión de cuatro caracteres. Esta extensión de cuatro caracteres es el cuarto segmento del valor "MachineGuid" de la clave de registro Microsoft \ Cryptography HKLM \ Software \. Por ejemplo, la extensión del archivo será AAAA si el valor es MachineGuid xxxxxxxx-xxxx-xxxx-AAAA-XXXXXXXXXXXX.


      Mientras que la nota principal rescate continúa mostrándose en un archivo llamado HTA Readme.hta, hay algunas otras diferencias que tienen lugar en el fondo. Por ejemplo, las recientes versiones Cerber cambiaron a una nueva gama de dirección IP que va a enviar paquetes UDP con fines estadísticos. Esta gama es 194.165.16.0/22.


      CERBER Estadísticas paquetes UDP

      ✿◕‿◕✿ La impaciencia no es buena compañía ✿◕‿◕✿

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Cerber ransomware 4.10 muestra ahora el número de versión en Ransom Notes

      Mi hipótesis sobre este cambio y que ahora se muestre el número de versión en el fondo de pantalla modificado, es muy sencilla... si vemos al ransomware Cerber como que también es un programa que se vende en el mercado underground para que otros sin muchos conocimientos técnicos puedan realizar sus campañas de infección a cambio de un porcentaje de las ganancias que estos obtienen, lo que se llama RaaS (Ransomware as a Service)

      Y vemos que ya desde la versión 4 Cerber dejo de mostrar el número correspondiente a la misma en los archivos que cifraba como antes (.cerber, .cerber2, .cerber3), para mí, es una manera de mostrar la versión que sus desarrolladores están comercializando más claramente, inclusive con otras pequeñas actualizaciones ya que la noticia habla de Cerber 4.0 y como lo comenté en twitter ya está la versión 4.1.1


      Los desarrolladores detrás de este ya han demostrado en varias oportunidades mantener su programa malicioso muy bien actualizado y no en vano es junto con Locky de los cuales no hay cura disponible y supuestamente recaudan mas de 2 millones de dólares al año.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.