Una nueva variante del ransomware Cerber fue descubierto por panicall, un investigador de seguridad de Trend Micro, que tiene algunos cambios significativos en la forma en que fue programado. Cerber ransomware versión 2 contiene numerosos cambios internos, así como cambios que serán evidentes para la víctima.
Cambios notables en Cerber v2
Para la víctima, el cambio más evidente será que los archivos cifrados tendrán ahora la extensión Cerber2 en lugar de .Cerber utilizado anteriormente.
Los instaladores que he visto hasta ahora para la variante Cerber2 han estado utilizando un icono de juego infantil llamado Anka . Esto muy probablemente cambiará relativamente pronto.
El fondo de pantalla también ha cambiado a un nuevo fondo que se ve como una pantalla pixelada como se muestra a continuación. Este fondo de pantalla indicará “Sus documentos, fotografías, bases de datos y otros archivos importantes han sido cifrados".
Por último, pero no menos importante, esta versión elimina posiblemente la debilidad que permitió a Trend Micro descifrar los archivos cifrados con Cerber Decryptor.
Los cambios internos a Cerber versión 2
Internamente ha cambiado mucho Cerber con la versión 2. De acuerdo con Panicall, el primer cambio es que el ransomware ahora utiliza un programa de compresión para que sea más difícil de detectar y analizar.
También cambió la encriptación utilizando ahora CryptGenRandom API de Microsoft para generar la clave. Por otra parte, al ser la clave generada de 32 bytes en lugar de los 16 bytes que utilizaba en las versiones anteriores. Estos cambios quizás sean la razón del porqué Trend Cerber Decryptor no es capaz de descifrar los archivos cifrados de esta versión.
Una porción de la versión de Cerber 2 config extraído por Panicall está abajo. Una versión completa se puede encontrar aquí. Gracias a Brendon Feeley por compartir el enlace.
{“av_blacklist”:[“arcabit”,”arcavir”,”avast software”,”bitdefender”,”bitdefender agent”,”bullguard ltd”,”bullguard software”,”ca”,”emsisoft anti-malware”,”escan”,”eset”,”etrust ez armor”,”f-secure”,”g data”,”kaspersky lab”,”lavasoft”,”trustport”] “blacklist”:{“countries”:[“am”,”az”,”by”,”ge”,”kg”,”kz”,”md”,”ru”,”tm”,”tj”,”ua”,”uz”] “check”:{“activity”:0,”av”:0,”country”:1,”language”:1,”vmware”:0},”close_process”:[“excel.exe”,”infopath.exe”,”msaccess.exe”,”mspub.exe”,”onenote.exe”,”outlook.exe”,”powerpnt.exe”,”steam.exe”,”sqlservr.exe”,”thebat.exe”,”thebat64.exe”,”thunderbird.exe”,”visio.exe”,”winword.exe”,”wordpad.exe”] “network”:1,”new_extension”:”.cerber2″,”max_block_size”:2,”max_blocks”:5,”min_file_size”:6,”multithread”:1,”rc4_key_size”:256,”rsa_key_size”:880} “global_public_key”:”LS==”,”
Cuando probé la muestra, el rango de IP actual que está siendo utilizado por Cerber v2 para sus estadísticas es sobre UDP 31.184.234.0/23.
La lista de extensiones específicas, borradas por Amigo-A, son las siguientes:
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
Fuente:bleepingcomputer