Descubren ransomware ruso que habla a sus víctimas

Publicado el 04 marzo 2016 por Emoto

Cerber se distribuye en foros de hacking rusos bajo el modelo “Ransomware como un Servicio” que cualquiera puede contratar.

Hemos conocido varios tipos de ransomware, un tipo de malware que secuestra digitalmente los archivos del afectado cifrándolos por completo. La única forma de recuperarlos es pagando por el rescate, con un límite de tiempo establecido. Este tipo de malware ha tenido una evolución que se conoce como RaaS (Ransomware como un Servicio), e incluso ahora puede hablar, literalmente.

Cerber es un ransomware ruso distribuido como RaaS a través de un foro ruso de hacking en el cual los interesados pueden utilizar el malware previamente codificado para esparcirlo en campañas de spam y phishing, según reporta Bleeping Computer. Cuando una computadora es infectada se cifra su contenido y el usuario afectado debe pagar por su rescate y parte de ese dinero va al contratante y un pequeño porcentaje al creador del ransomware.

El afectado se puede percatar de esta infección al ver un supuesto mensaje de error que le pide reiniciar su computadora, cambiando el parámetro de reinicio a “Modo Seguro con Funciones de Red” y posteriormente fuerza el reinicio, el cual es aprovechado por Cerber para cifrar los archivos usando el algoritmo AES. Son 380 los tipos de archivos que, además de ser cifrados, cambian su extensión a .cerber al final del nombre.

Cada una de las carpetas con archivos cifrados contendrán tres ficheros con un texto que indica la instrucciones para recuperarlos. Uno de ellos se encuentra en formato VBS, el cual, al ser abierto, no sólo mostrara el mensaje como los otros archivos en formatos TXT y HTML, sino también leerá su contenido: “¡Atención! ¡Atención ¡Atención! Tus documentos, fotos, bases de datos y otros archivos importantes han sido cifrados”.
Para mala fortuna de quienes han sido víctimas de este ransomware ruso que evita a los países ex soviéticos, es que por ahora es indescifrable y recuperar los archivos costará 1,24 bitcoins, equivalentes a USD$520 dólares. El pago debe realizarse a través de la Dark Web accediendo a un enlace URL (del tipo .onion), donde el afectado encontrará más información acerca de la infección.

Ahora, más que nunca, la distribución de ransomware previamente codificado es una manera de ganarse la vida a costa de la ingenuidad de otros, por no mencionar a los interesados en el modelo RaaS, con todo lo que eso implica.