Artículo: Cerber Ransomware Can Now Kill Database Processes

Cerber, una de las familias más prevalentes ransomware de este año, ahora está usando extensiones aleatorias de archivos cifrados y ahora es capaz de matar a los procesos de varios servidores de bases de datos, los investigadores revelan.

http://www.securityweek.com/cerber-ransomware-can-now-kill-database-processes

Traducción Google:

El ransomware Cerber, que fue de contabilidad para una cuarta parte de las detecciones ransomware hace tres meses, adoptó mejoró la generación de claves a principios de agosto, y se estima que ha generado $ 2.3 millones en ingresos anuales . Históricamente, la amenaza ha sido distribuido a través de paquetes de exploits y correos electrónicos no deseados, sino también por otros programas maliciosos.

A principios de septiembre de Cerber fue visto siendo distribuido por Betabot , y la última variante importante del malware surgió poco después. Apodado Cerber 3.0 , se utiliza una nueva extensión para los archivos cifrados (.cerber3)  , así como una nota de rescate modificado y cantidad reducida de rescate. El malware continuó utilizando un archivo de audio de «hablar» a sus víctimas.

BleepingComputer  ahora dice que Cerber ha cambiado a una extensión de cuatro caracteres que se genera aleatoriamente. El nombre del archivo cifrado también está codificada, lo que hace más difícil para los usuarios recuperar sus datos. Además, la nueva variante de malware suelta una nueva nota de rescate, llamadoREADME.hta .

El cambio más importante en Cerber, sin embargo, es la capacidad de la amenaza de matar a muchos procesos de base de datos con el uso de unclose_process en el fichero de configuración.Estos procesos se terminan antes de que el proceso de cifrado se inicia, por lo que los archivos de datos de los procesos ‘se pueden cifrar (el archivo de datos no sería accesible para el cifrado, si los procesos están aún estaban corriendo).

La lista de procesos dirigidos incluye:msftesql.exe, Sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc .exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld -opt.exe, dbeng50.exe, y sqbcoreservice.exe .

Al igual que las anteriores variantes Cerber, la nueva iteración ransomware envía paquetes UDP a la gama 31.184.234.0/23 con fines estadísticos, dicen los investigadores.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.