Cerber ransomware 4.1.0 ahora muestra su número de versión de la nota de rescate utilizado como fondo de escritorio de Windows
Anteriormente, la única manera de determinar la versión de la variante de instalación del Cerber fue examinar la extensión adjunta en los archivos cifrados. Ahora bien, esta información está fácilmente disponible en la nota de rescate como se ve a continuación.
Actualización 01/11/16: Poco después de la publicación de este artículo, se descubrió que la versión 4.1.1 de Cerber fue puesto en libertad
Al igual que la versión anterior que aparecio a principios de octubre, esta versión sigue utilizando una extensión para los archivos cifrados que se basa apagado de valor MachineGuid de la computadora de la clave de registro HKLM\Software\Microsoft\Cryptography. De acuerdo con Fortinet:
Cerber marca los archivos cifrados con una extensión específica. En las versiones anteriores (Cerber 2 y 3), los archivos cifrados fueron marcados con .cerber2 y .cerber3, respectivamente. Para esta versión, los archivos cifrados están marcados con una extensión de cuatro caracteres. Esta extensión de cuatro caracteres es el cuarto segmento del valor "MachineGuid" de la clave de registro Microsoft\Cryptography HKLM\Software\. Por ejemplo, la extensión del archivo será AAAA si el valor es MachineGuid xxxxxxxx-xxxx-xxxx-AAAA-XXXXXXXXXXXX.
Mientras que la nota principal de rescate continúa mostrándose en un archivo llamado HTA Readme.hta, hay algunas otras diferencias que tienen lugar en el fondo. Por ejemplo, las recientes versiones Cerber cambiaron a una nueva gama de dirección IP que va a enviar paquetes UDP con fines estadísticos. Esta gama es 194.165.16.0/22.
Por último, en esta versión se ha notado una petición HTTP que se realiza a un explorador de cadena de bloque de Bitcoin en http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382. Esta URL devolverá un documento JSON que contiene información de la transacción para la dirección bitcoin 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt.
