LOS RANSOMWARES “CERBER 4” ATACAN DE NUEVO

LOS CERBER 4 ATACAN DE NUEVO

A través de un fichero ZIP anexado a un e-mail es la forma mas habitual de descargar un fichero .JS que instala las variantes de CERBER que se van recibiendo.

Su ejecución codifica ficheros de datos cambiando su nombre por el de 10 caracteres alfanumericos aleatorios añadiendo una extensión de 4 cifras hexadecimales variables segun sistema y equipo, tras lo cual se autoborra, dejando un fondo de pantalla BMP con instrucciones para pago del rescate de los ficheros cifrados y los de ayuda para dicho fin.

La última versión que se está propagando en Diciembre 2016 es la 4.1.6, que fusiona los algoritmos de encriptación RSA y RC4 para crear un cifrado incrackable que hace inútiles archivos personales, documentos, bases de datos y otros archivos importantes. El precio del rescate inicial es de unos 500 $, y los delincuentes ordenan a la víctima que transmita esta suma de dinero a través del sistema Bitcoin dentro de cinco días; De lo contrario aumentan el precio del rescate. Esta secuela del infame proyecto de ransomware es tan peligroso como sus predecesores, y también conecta a cada PC comprometida en una botnet para llevar a cabo ataques DDoS. Las víctimas de la versión 4.1.6 deben eliminar virus tan pronto como sea posible y realizar varias exploraciones del sistema para analizar a fondo el equipo y eliminar todos los archivos maliciosos y restos del ransomware.

A partir del ELISTARA 35.91 de hoy pasamos a detectar y eliminar los archivos maliciosos conocidos al respecto, dejando los ficheros cifrados por si en algun momento apareciera la utilidad de descifrado, muy dificil en este caso…

El preanalisis de virustotal del último EXE malicioso recibido de esta familia, ofrece este informe:

MD5 8ca8ca9ac5132fa61e16c8871db12be5
SHA1 ae6731173d1fa6318c2b187eab002709070c8f92
File size 269.3 KB ( 275716 bytes )
SHA256: a5862bb6c375222a3e86874691c16e12c160b96a9f0ee804c4a5f2d292677b03
File name: 8ca8ca9a.exe
Detection ratio: 9 / 56
Analysis date: 2016-12-30 10:37:02 UTC ( 6 minutes ago )
0
1

Antivirus Result Update
Avira (no cloud) TR/Dropper.Gen 20161230
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
ESET-NOD32 a variant of Win32/Injector.DJHI 20161230
Invincea ransom.win32.cerber.a 20161216
Kaspersky UDS:DangerousObject.Multi.Generic 20161230
Malwarebytes Ransom.Cerber 20161230
McAfee-GW-Edition BehavesLike.Win32.Downloader.dc 20161230
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20161230
Symantec Heur.AdvML.B 20161230

Dadas las continuas modificaciones con los ransomwares, es muy aconsejable configurar el antivirus con la heuristica a nivel MUY ALTO, para asi detectar en lo posible las nuevas variantes y evitar el fastidioso cifrado, si bien recordamos que la primera norma de la informatica es disponer de copias de seguridad recientes y fuera del ordenador, para que no puedan ser cifradas tambien !!!

Dicha versión del ELISTARA 35.91 que lo detecta y elimina, estará disponible en nuestra web a partir del 31-12-2016

saludos

ms, 30-12-2016