El ransomware es el tipo de malware más preocupante de los últimos años. Cuando este malware infecta el ordenador de un usuario, automáticamente comienza a cifrar sus datos para, posteriormente, pedir el pago de un rescate para recuperarlos. Aunque existen muchas variantes diferentes de este malware, una de las más conocidas y peligrosas es Cerber, quien recientemente se ha actualizado con el fin de seguir amenazando los datos de los usuarios.
Un investigador de seguridad conocido como «panicall» ha detectado las primeras infecciones de Cerber 2, una nueva versión del peligro ransomware que, tras analizarlo, llega con un gran número de cambios, tanto a nivel interno como visibles para el usuario, con los que poder seguir llevando a cabo sus tareas de infección.
Principales diferencias entre la primera y la segunda versión de Cerber
El primero de los cambios del nuevo Cerber 2 es la extensión de los archivos cifrados. Mientras que en primer lugar la extensión quedaba como «.cerber», ahora con esta versión se ha cambiado a «.cerber2», facilitando, en cierto modo, la identificación de la versión que nos ha infectado.
Otro de los cambios más relevantes de esta nueva versión es el fondo de escritorio que se configura tras la infección indicando a la víctima que todos sus datos han sido robados y facilitando la información necesaria para realizar el pago con el que poder recuperarlos.
En cuanto a los cambios internos, uno de los más relevantes es que el nuevo Cerber 2 utiliza un software de empaquetado y ofuscación que complica notablemente su detección y hace que sea mucho más complicado analizarlo.
Además, esta nueva versión hace uso de la API Microsoft CryptGenRandom para generar la clave con la que recuperar los datos. Esta API genera una clave de 32 bytes, mucho más fuerte respecto a la de 16 bytes que generaba la primera versión del ransomware, impidiendo que los datos puedan recuperarse como antes, al menos de momento.
Para recuperar los archivos, el ransomware nos genera una página web personal a la que debemos acceder a través de la red Tor y donde nos indica la cantidad de Bitcoin que debemos ingresar a los piratas para poder obtener la clave y la herramienta con la que descifrar los datos.
Como es obvio, esta nueva versión ha solucionado las debilidades que permitía a la herramienta «Cerber Decryptor» descifrar los datos de forma gratuita por lo que, aunque los investigadores se encuentran trabajando en esta nueva variante, por el momento las víctimas tendrán que esperar a que se lance la herramienta de recuperación de los datos.
¿Qué opinas de esta nueva versión del ransomware? ¿Crees que supondrá un peligro como la primera?
Quizá te interese: