Este ransomware encripta tus archivos y luego te lee la nota de rescate

Desde Rusia con amor: Cerber Ransomware primero encripta tus archivos y luego lee la nota de rescate

Los autores de malware son conocidos por ser un grupo ingenioso y confía en ellos para crear un ransomware que realmente lee la nota de rescate a la víctima.

Cerber es un ransomware reciente que encripta los archivos de la víctima objetivo y luego proporciona una función de TTS (texto a voz) que lee la nota de rescate.

El ransomware fue descubierto por dos investigadores de seguridad independientes, @BiebsMalwareGuy y @MeegulWorth, y fue analizado por investigadores de Bleeping Computer y Malwarebytes.

Cerber fue analizado por primera vez la semana pasada por investigadores de seguridad de SenseCy. Los investigadores de SenseCy afirmaron que Cerber fue escrito por programadores rusos que lo están publicitando y vendiendo como un servicio RaaS en foros de hacking subterráneos en Rusia.

Ransomware-as-a-Service (RaaS) es un nuevo modelo de negocio que está creciendo rápidamente en Rusia. Bajo RaaS, los programadores de malware proporcionan un ransomware completamente codificado por una cantidad fija a criminales cibernéticos que luego lo distribuyen a través de campañas de spam y spear-phishing. Los autores solo obtienen una pequeña parte cuando la víctima paga el rescate.

Cerber es un ransomware único en muchos aspectos. Una de las cualidades de Cerber es que evita los países de habla rusa. Los investigadores dijeron que el código de Cerber indica que fue construido específicamente para evitar infecciones de usuarios que viven en antiguos países soviéticos.

Otro inconveniente en las operaciones de Cerber es el hecho de que, antes de encriptar archivos, el ransomware muestra un aviso de error a través del cual engaña al usuario para que reinicie el ordenador. El ransomware hace que el PC se reinicie en “Modo Seguro con Red” y luego reinicia forzosamente el ordenador nuevamente en modo normal.

Después de este reinicio forzado, Cerber comienza a encriptar archivos con un algoritmo AES. El ransomware apunta a 380 tipos de archivos, y durante el proceso de encriptación, desordena el nombre de los archivos y añade la extensión .cerber al final. Una vez que Cerber toma control del PC de la víctima, añade tres notas en formato de texto, HTML y VBS en cada una de las carpetas donde encriptó datos. Cuando la víctima hace clic en la nota, Cerber recitará la nota de rescate al usuario.

La nota de rescate pide 1.24 Bitcoin ($520 / €475), una suma que se duplica después de la primera semana. Como es habitual, los usuarios deben pagar el rescate en Bitcoin a través de una URL de la Dark Web (dominio .onion).

Cerber es indescifrable hasta ahora.