Durante las fechas navideñas nos hemos dado cuenta que han aumentado las campañas de SPAM, sobre todo aquellas que se han ejecutado mientras que el cliente estaba haciendo sus compras. Entre las más destacadas, nos encontramos con las últimas variantes de Cerber Ransomware.

Estas campañas forman parte de lo que han sido muchos esfuerzos de Cerber por mantenerse en activo, intentando infectar la máxima cantidad de ordenadores posibles.

En primer lugar, una de las nuevas campañas que hemos detectado han sido unos archivos que vienen en formato .zip y con contraseña.

Estos eran distribuidos a través de sofisticadas cadenas de correo electrónico, con la particularidad de que en el asunto nos encontrábamos palabras tan simples como un “Hola” o similares. En el cuerpo del mensaje encontrábamos ya un texto más elaborado del estilo “su pedido será entregado hoy” o “factura adjunta” (en relación a los pedidos que se hacían en estos pedidos)

La contraseña para abrir el archivo era normalmente 6666 y la podíamos encontrar en el mismo cuerpo del mensaje.

El problema, lógicamente, viene cuando extraemos el archivo.

Y es que lo que estaremos haciendo es extraer un archivo malicioso que es detectado por sistemas Windows como TrojanDownloader O97M /Donff. Es un tipo de troyano que crea Cerber para infectar nuestros equipos.

Otra campaña que también se ha extendido en estas fechas utiliza el Rig exploit kit, que será detectado por Windows como un exploit: HTML / Meadgive.

Este exploit se ejecuta en el momento en el que el usuario entra en un sitio web/página comprometida que aloja este paquete de software malicioso. Se explotan ciertas vulnerabilidades que habitualmente presentan los sistemas, como el CVE-2015-8651 que han sido programados para poder descargarse en el PC y, una vez que lo han hecho, empezar a ejecutarse.

¿Dónde se ha detectado este ransomware?

Se ha podido determinar que este tipo de malware se ha concentrado, sobre todo, en Europa y en toda Asia.

Estas dos campañas no son más que una variante de Cerber ransomware. Esto demuestra, a diferencia de lo que muchos expertos habían pensado, que estos ciberdelincuentes no han cesado su actividad ni mucho menos, si no que están más en activo que nunca.

A continuación, vamos a ver brevemente algunos de los cambios que se han observado en las versiones más recientes de Cerber:

1. Las nuevas variantes llegan con un fondo de pantalla con colores rojos, en lugar de verde.
2. Utiliza nivel de encriptación de UPX y sigue en la línea en cuanto al sistema de Nullsoft.
3. Se reduce la información que existe sobre la amenaza de ransomware.
4. Se añaden más de 50 nuevas extensiones de nombre de archivo para conseguir el cifrado.
5. Se priorizan algunas carpetas durante el cifrado como Microsoft OneNote , Microsoft Outlook , y  Microsoft Excel .
6. Se añaden nuevos conjuntos de IP.

Es por ello, por lo que conviene informarse como eliminar estas infecciones antes de que sea demasiado tarde para ello.