Cerber ransomware

Cerber Ransomware es una infección de ransomware que se utiliza para cifrar los archivos de las víctimas. Cerber Ransomware agrega la extensión CERBER a cada archivo que encripta Cerber Ransomware. Después de que Cerber Ransomware haya cifrado algunos de los archivos de la víctima, Cerber Ransomware exige el pago de un rescate a cambio de la clave de descifrado. Según la nota de rescate de Cerber Ransomware, los usuarios de computadoras tienen una semana para pagar el monto del rescate antes de que se duplique.

Cerber Ransomware contiene un mensaje de audio

A medida que Cerber Ransomware cifra los archivos de la víctima, crea archivos TXT, HTML y VBS llamados 'DECRYPT MY FILES' con instrucciones sobre cómo pagar el rescate de Cerber Ransomware. Estos archivos se colocan en todas las carpetas que contienen archivos cifrados por Cerber Ransomware. De acuerdo con estas notas de rescate, la única forma de descifrar los archivos es utilizando el 'Cerber Decryptor', proporcionado por las personas responsables del Cerber Ransomware. El archivo VBS contiene un mensaje de audio con esta misma información. Según el ataque Cerber Ransomware, las víctimas deben pagar 1.24 BitCoin para obtener acceso a la utilidad de descifrado (en 2016, esta cantidad es de entre $ 500 y $ 800 USD en promedio). Después de una semana, la cantidad se duplica. Cerber Ransomware exige que el pago se realice a través de TOR .

Cerber Ransomware es muy similar a otros troyanos ransomware, incluidos CryptoWall y TeslaCrypt . Estos ataques son casi idénticos, solo se diferencian en pequeños detalles y es muy probable que compartan grandes porciones de su código. Los usuarios de computadoras deben evitar pagar el rescate de Cerber Ransomware por dos razones: primero, los usuarios de computadoras no tienen garantía de que los estafadores responsables del ataque de Cerber Ransomware cumplan con su parte del trato y proporcionen el descifrador después de que se haya realizado el pago. En segundo lugar, pagar el rescate de Cerber Ransomware permite a estos estafadores continuar llevando a cabo estos ataques y financiar el desarrollo de nuevo ransomware.

La característica básica de Cerber es el uso del cifrado AES-256 para codificar los archivos de sus víctimas. El ransomware agrega una serie de extensiones diferentes a los archivos cifrados, incluidos .cerber, .cerber2, .cerber3, .beef, .af47, .ba99. Las notas de rescate utilizadas en diferentes versiones también tienen diferentes nombres: # DECRYPT MY FILES # .txt, # HELP DECRYPT # .html y _R_E_A_D ___ T_H_I_S ___ [random] _. Txt, por nombrar algunos.

Los vectores de infección utilizados en varias campañas de Cerber son más o menos estándar: campañas de correo electrónico no deseado que contienen archivos adjuntos maliciosos que van desde archivos de Office hasta fragmentos de JavaScript, kits de explotación que entregan la carga útil, así como sitios maliciosos que contienen código que descarga el ransomware. Otra característica curiosa del ransomware es que ejecuta una verificación del sistema y evita a los usuarios ubicados en antiguas repúblicas soviéticas, como Armenia, Georgia, Bielorrusia, Moldavia, la propia Rusia y Ucrania, entre otras. Esto por sí solo podría ser una indicación sobre el origen de la amenaza.

Ejecución y comportamiento

Una vez que se ejecuta, Cerber coloca una copia de sí mismo con un nombre aleatorio en una carpeta con un nombre exclusivo ubicada en% AppData%. Junto con esto, también establece una forma de persistencia, creando un acceso directo al ejecutable en% APPDATA% \ Microsoft \ Windows \ Menú Inicio \ Programas \ Inicio. El ransomware también edita el registro del sistema, creando dos nuevas entradas en HKEY_CURRENT_USER \ Printers \ Defaults \. Las entradas se denominan Component_00 y Component_01 y contienen datos binarios. Se agregan claves de registro adicionales para garantizar la persistencia en varias ubicaciones de ejecución automática del registro.

Cuando encripta los archivos de la víctima, Cerber no necesita una conexión en vivo a su servidor de comando y control (C&C), lo que significa que desconectar su cable ethernet no servirá de nada. El cifrado no solo agrega una nueva extensión, como es habitual con los ransomwares, sino que también cambia el nombre del archivo original, haciendo que todos los archivos cifrados sean completamente irreconocibles. La extensión más utilizada anexada por el ransomware es .cerber, con algunas versiones que usan .cerber2 y .cerber3, así como otras inusuales como .ba99 y .beef.

Los investigadores de seguridad de PC han determinado que Cerber Ransomware apunta y cifra archivos con las siguientes extensiones:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png , .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr,. ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .advertisements, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal , .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd,. fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl , .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem,. plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex , .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab,. ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config , .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit,. m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, 3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java , .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2,. sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .x lsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh , .odc, .odp, .aceite, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc,. sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Nota de rescate

Algunas versiones de Cerber muestran su nota de rescate como una imagen de fondo de pantalla que reemplaza a la anterior, mientras que otras usan HTML y archivos de texto sin formato para la nota. Sin embargo, el texto de todas las notas es prácticamente el mismo:

CERBER RANSOMWARE

¡Sus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados!

La única forma de descifrar sus archivos es recibir la clave privada y su programa de descifrado.

Para recibir la clave privada y el programa de descifrado, vaya a cualquier carpeta descifrada; dentro hay un archivo especial (* README *) con instrucciones completas sobre cómo descifrar sus archivos.

Si no puede encontrar ningún archivo (* README *) en su PC, siga las instrucciones a continuación:

[Tor url]

¡Nota! Esta página solo está disponible a través del "Navegador Tor".

La nota de rescate asociada con Cerber Ransomware contendrá la siguiente información:

¡Sus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados!
Para descifrar sus archivos, siga las instrucciones:
-------------------------------------------------- -------------------------------------
1. Descargue e instale el "Navegador Tor" desde https://www.torproject.org/
2. Ejecutarlo
3. En el sitio web abierto "Navegador Tor": [redactado]
4. Siga las instrucciones de este sitio web.
-------------------------------------------------- -------------------------------------

DECRIPTOR CERBER
¡Sus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados!
Para descifrar sus archivos, debe comprar el software especial -.
Todas las transacciones deben realizarse solo a través de la red bitcoin.
En 7 días puede comprar este producto a un precio especial de 1.24 BTC (aproximadamente $ 524).
Después de 7 días, el precio de este producto aumentará hasta 2.48 BTC (aproximadamente $ 1048).

Las versiones HTML de la nota de rescate vienen con un fragmento en Visual Basic que lee la nota de rescate a la víctima, un toque interesante, aunque algo inútil. La URL de Tor en la nota de rescate conduce a una página personalizada que se puede ver en varios idiomas, para garantizar que tantas víctimas como sea posible puedan intentar pagar el rescate.

Cerber alquilado como servicio

Bien entrada su vida útil, Cerber se convirtió en ransomware-as-a-service. La red criminal que originalmente produjo Cerber comenzó a alquilarla a otros ciberdelincuentes que estuvieran dispuestos a dividir sus ganancias. La idea detrás de este modelo es que cualquier pago de rescate realizado por las víctimas de los terceros criminales que propagan el malware se divide entre ellos y los autores originales de Cerber. Este ha demostrado ser un modo de operación muy rentable para los malos actores detrás del ransomware, con estimaciones de que Cerber gana alrededor de $ 200,000 en Bitcoin cada mes. Esto permite a los autores del ransomware-as-a-service prácticamente no hacer nada más mientras otra persona ejecuta las campañas de difusión de correo electrónico no deseado para ellos.

El ransomware Cerber pasó por varias versiones, algunas de las cuales recibieron descriptores numéricos por parte de investigadores de seguridad. El último al que se le dio un número oficial es Cerber 6, una versión que salió en algún momento de 2017. Se jactó de capacidades mejoradas de anti-detección debido a un nuevo diseño de múltiples componentes, verificando si hay software anti-malware activo y si se está ejecutando o no en un entorno de máquina virtual de caja de arena. Cerber 6 también se encontró distribuido en archivos ejecutables autoextraíbles que contenían scripts VB, así como un componente DLL.

En los últimos años, un nuevo ransomware ha estado causando daños, llamado Magniber por los investigadores de seguridad. El nombre es una combinación del kit de exploits Magnitude y Cerber, ya que se creía que el nuevo ransomware transportado por Magnitude EK era Cerber. Sin embargo, resultó que la carga útil Magniber es en realidad de una familia diferente a la de Cerber y comparte poco con ella bajo el capó.

Los investigadores de seguridad que trabajan con Checkpoint han lanzado una herramienta de descifrado, que funciona solo para algunas de las versiones del ransomware.

Lidiando con Cerber Ransomware

Si Cerber Ransomware se ha instalado en su computadora, la mejor solución es restaurar los archivos cifrados desde una copia de seguridad. Debido a esto, la mejor medida de protección contra Cerber Ransomware y troyanos de cifrado similares es hacer una copia de seguridad de todos los datos importantes con regularidad. Debe evitar los sitios web que puedan estar asociados con contenido cuestionable y utilizar un programa de seguridad confiable que esté completamente actualizado.

SpyHunter detecta y elimina Cerber ransomware