Cerber, una de las familias más prevalentes ransomware de este año, ahora está usando extensiones aleatorias de archivos cifrados y ahora es capaz de matar a los procesos de varios servidores de bases de datos, los investigadores revelan.
http://www.securityweek.com/cerber-ransomware-can-now-kill-database-processes
Traducción Google:
El ransomware Cerber, que fue de contabilidad para una cuarta parte de las detecciones ransomware hace tres meses, adoptó mejoró la generación de claves a principios de agosto, y se estima que ha generado $ 2.3 millones en ingresos anuales . Históricamente, la amenaza ha sido distribuido a través de paquetes de exploits y correos electrónicos no deseados, sino también por otros programas maliciosos.
A principios de septiembre de Cerber fue visto siendo distribuido por Betabot , y la última variante importante del malware surgió poco después. Apodado Cerber 3.0 , se utiliza una nueva extensión para los archivos cifrados (.cerber3) , así como una nota de rescate modificado y cantidad reducida de rescate. El malware continuó utilizando un archivo de audio de «hablar» a sus víctimas.
BleepingComputer ahora dice que Cerber ha cambiado a una extensión de cuatro caracteres que se genera aleatoriamente. El nombre del archivo cifrado también está codificada, lo que hace más difícil para los usuarios recuperar sus datos. Además, la nueva variante de malware suelta una nueva nota de rescate, llamadoREADME.hta .
El cambio más importante en Cerber, sin embargo, es la capacidad de la amenaza de matar a muchos procesos de base de datos con el uso de unclose_process en el fichero de configuración.Estos procesos se terminan antes de que el proceso de cifrado se inicia, por lo que los archivos de datos de los procesos ‘se pueden cifrar (el archivo de datos no sería accesible para el cifrado, si los procesos están aún estaban corriendo).
La lista de procesos dirigidos incluye:msftesql.exe, Sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc .exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld -opt.exe, dbeng50.exe, y sqbcoreservice.exe .
Al igual que las anteriores variantes Cerber, la nueva iteración ransomware envía paquetes UDP a la gama 31.184.234.0/23 con fines estadísticos, dicen los investigadores.
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024