Una nueva versión del ransomware Cerber está usando extensiones aleatorias de 4 caracteres, en lugar de la típica .CERBER3, además de cifrar el nombre del archivo. Por ejemplo, el archivo cifrado por el ransomware quedaría nombrado como A9oJ0sWx3B.x28h.
Como nota de rescate, Cerber utiliza un archivo readme.HTA que aparecerá en una ventana emergente para mostrar los términos del rescate de los archivos.
Lo más significativo de la nueva versión del ransomware es que termina los procesos de base de datos antes del cifrado.
La nueva variante de Cerber, de acuerdo con el investigador de seguridad BloodDolly, incluye en su configuración una directiva close_process para añadir nuevos procesos de base de datos a terminar antes de que inicie el proceso de cifrado del ransomware.
Se ha identificado que Cerber busca los siguientes procesos de base de datos:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- oracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
- mydesktopqos.exe
- agntsvc.exe
- isqlplussvc.exe
- xfssvccon.exe
- mydesktopservice.exe
- ocautoupds.exe
- agntsvc.exe
- agntsvc.exe
- agntsvc.exe
- encsvc.exe
- firefoxconfig.exe
- tbirdconfig.exe
- ocomm.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- dbeng50.exe
- sqbcoreservice.exe
Típicamente Cerber se distribuye a través de kits de explotación de vulnerabilidades, de correo electrónico spam y de malware.