Cerber ransomware 4.1.0 fue lanzado recientemente que ahora muestra su número de versión de la nota de rescate utilizado como fondo de escritorio de Windows. En el pasado, la única manera de determinar la versión de la variante de instalación Cerber fue examinar la extensión adjunta a los archivos cifrados. Ahora bien, esta información está fácilmente disponible en la nota de rescate como se ve a continuación.

Cerber
Cerber

Al igual que la versión anterior que escribió acerca a principios de octubre, esta versión sigue utilizando una extensión para los archivos cifrados que se basa apagado de valor MachineGuid de la computadora de la clave de registro HKLM Software Microsoft Cryptography. De acuerdo con Fortinet :

Cerber marca los archivos cifrados con una extensión específica. En las versiones anteriores (Cerber 2 y 3), los archivos cifrados fueron marcados con .cerber2 y .cerber3, respectivamente. Para esta versión, los archivos cifrados están marcados con una extensión de cuatro caracteres. Esta extensión de cuatro caracteres es el cuarto segmento del valor “MachineGuid” de la clave de registro Microsoft Cryptography HKLM Software . Por ejemplo, la extensión del archivo será AAAA si el valor es MachineGuid xxxxxxxx-xxxx-xxxx-AAAA-XXXXXXXXXXXX.

Mientras que la nota principal rescate continúa mostrándose en un archivo llamado HTA Readme.hta, hay algunas otras diferencias que tienen lugar en el fondo. Por ejemplo, las recientes versiones Cerber cambiaron a una nueva gama de dirección IP que va a enviar paquetes UDP con fines estadísticos. Esta gama es 194.165.16.0/22.

CERBER Estadísticas paquetes UDP
CERBER Estadísticas paquetes UDP