RANSOM_CERBER.CAD
Ransom:Win32/Cerber (Microsoft); Trojan-Ransom.NSIS.Onion.rif (Kaspersky); Trojan.Cryptolocker.AH (Symantec); Ransom.Cerber (Malwarebytes);
Windows
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Este malware modifica la configuraci¨®n de zona de Internet Explorer.
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado y las ejecuta:
- %Application Data%\{GUID}\{random file from system32 folder}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Este malware infiltra el/los siguiente(s) archivo(s):
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %Tasks%\{filename of initially executed copy}
- %Application Data%\HeraldScaup.Yht
- %Application Data%\6.png
- %Application Data%\401-5.htm
- %Application Data%\3BSYBS1-DCSA_Alerts_05132015040011.xml
- %Application Data%\b_it.jpg
- %Application Data%\calendar.png
- %Application Data%\ETenms-B5-H
- %Application Data%\abstract.properties.xml
- %Application Data%\calendar2.png
- %Application Data%\Freetown
- %Application Data%\fop.jpg
- %Application Data%\akilok_yellow.png
- %Application Data%\callout.unicode.xml
- %Application Data%\dsc_backup_tile.png
- %Application Data%\EST5
- %Application Data%\AlienFusionService.InstallLog
- %Application Data%\Chongqing
- %Application Data%\draft.watermark.image.xml
- %Application Data%\eclipse.autolabel.xml
- %Application Data%\calendar.rdf
- %Application Data%\CommonMessages_es.xml
- %Application Data%\goURL_lr_photoshop_es.csv
- %Application Data%\communications-category.png
- %Application Data%\errorCallBack.c
- %Application Data%\adcjavas.inc
- %Application Data%\divide.js
- %Application Data%\clock.png
- %Application Data%\graphics.dir.xml
- %Application Data%\51-local.conf
- %Application Data%\goURL_lr_photoshop_cn.csv
- %Application Data%\City Twilight.hdt
- %Application Data%\fop.bat
- %Application Data%\Algiers
- %Application Data%\circleround_selectionsubpicture.png
- %Application Data%\email.mailto.enabled.xml
- %Application Data%\Aden
- %Application Data%\built-with-forrest-button.png
- %Application Data%\cp_DManager.png
- %Application Data%\bluetooth.png
- %Application Data%\Shiel.TEx (encrypted malware file)
- %Application Data%\CDRom.dll
- %User Temp\{random file name2}.bmp
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)
HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio del usuario de Windows para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
- %User Startup%\{random filename from system32 folder}.lnk
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Men¨² Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Men¨² Inicio\Programas\Inicio).
)Otras modificaciones del sistema
Modifica los archivos siguientes:
- It renames encrypted files to {random name}.cerber
Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalaci¨®n:
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\{random file name2}.bmp"
(Note: The default value data of the said registry entry is "{User Preference}".)
Este malware tambi¨¦n crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalaci¨®n:
HKEY_CURRENT_USER\Printers\Defaults\
{GUID}
Component_01 = "{base64 of encoded key}"
HKEY_CURRENT_USER\Printers\Defaults\
{GUID}
Component_00 = "{encoded value}"
Finalizaci¨®n del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- outlook.exe
- steam.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- winword.exe
Modificaci¨®n de la p¨¢gina de inicio y de la p¨¢gina de b¨²squeda del explorador Web
Este malware modifica la configuraci¨®n de zona de Internet Explorer.
Otros detalles
Cifra los archivos con las extensiones siguientes:
- .1cd
- .3dm
- .3ds
- .3fr
- .3g2
- .3gp
- .3pr
- .7z
- .7zip
- .aac
- .ab4
- .abd
- .accdb
- .accde
- .accdr
- .accdt
- .ach
- .acr
- .act
- .adb
- .adp
- .ads
- .agdl
- .ai
- .aiff
- .ait
- .al
- .aoi
- .apj
- .apk
- .arw
- .ascx
- .asf
- .asm
- .asp
- .aspx
- .asset
- .asx
- .atb
- .avi
- .awg
- .back
- .backup
- .backupdb
- .bak
- .bank
- .bay
- .bdb
- .bgt
- .bik
- .bin
- .bkp
- .blend
- .bmp
- .bpw
- .bsa
- .c
- .cash
- .cdb
- .cdf
- .cdr
- .cdr3
- .cdr4
- .cdr5
- .cdr6
- .cdrw
- .cdx
- .ce1
- .ce2
- .cer
- .cfg
- .cfn
- .cgm
- .cib
- .class
- .cls
- .cmt
- .config
- .contact
- .cpi
- .cpp
- .cr2
- .craw
- .crt
- .crw
- .cs
- .csh
- .csl
- .css
- .csv
- .d3dbsp
- .dac
- .das
- .dat
- .db
- .db3
- .db_journal
- .dbf
- .dbx
- .dc2
- .dcr
- .dcs
- .ddd
- .ddoc
- .ddrw
- .dds
- .def
- .der
- .des
- .design
- .dgc
- .dit
- .djvu
- .dng
- .doc
- .docm
- .docx
- .dot
- .dotm
- .dotx
- .drf
- .drw
- .dtd
- .dwg
- .dxb
- .dxf
- .dxg
- .edb
- .eml
- .eps
- .erbsql
- .erf
- .exf
- .fdb
- .ffd
- .fff
- .fh
- .fhd
- .fla
- .flac
- .flb
- .flf
- .flv
- .flvv
- .forge
- .fpx
- .fxg
- .gif
- .gray
- .grey
- .groups
- .gry
- .h
- .hbk
- .hdd
- .hpp
- .html
- .ibank
- .ibd
- .ibz
- .idx
- .iif
- .iiq
- .incpas
- .indd
- .info
- .info_
- .ini
- .iwi
- .jar
- .java
- .jnt
- .jpe
- .jpeg
- .jpg
- .js
- .json
- .k2p
- .kc2
- .kdbx
- .kdc
- .key
- .kpdx
- .kwm
- .laccdb
- .lbf
- .lck
- .ldf
- .lit
- .litemod
- .litesql
- .lock
- .log
- .ltx
- .lua
- .m
- .m2ts
- .m3u
- .m4a
- .m4p
- .m4v
- .mab
- .mapimail
- .max
- .mbx
- .md
- .mdb
- .mdc
- .mdf
- .mef
- .mfw
- .mid
- .mkv
- .mlb
- .mmw
- .mny
- .money
- .moneywell
- .mos
- .mov
- .mp3
- .mp4
- .mpeg
- .mpg
- .mrw
- .msf
- .msg
- .myd
- .nd
- .ndd
- .ndf
- .nef
- .nk2
- .nop
- .nrw
- .ns2
- .ns3
- .ns4
- .nsd
- .nsf
- .nsg
- .nsh
- .nvram
- .nwb
- .nx2
- .nxl
- .nyf
- .oab
- .obj
- .odb
- .odc
- .odf
- .odg
- .odm
- .odp
- .ods
- .odt
- .ogg
- .oil
- .omg
- .orf
- .ost
- .otg
- .oth
- .otp
- .ots
- .ott
- .p12
- .p7b
- .p7c
- .pab
- .pages
- .pas
- .pat
- .pbf
- .pcd
- .pct
- .pdb
- .pdd
- .pef
- .pem
- .pfx
- .php
- .pif
- .pl
- .plc
- .plus_muhd
- .pm
- .pm!
- .pmi
- .pmj
- .pml
- .pmm
- .pmo
- .pmr
- .pnc
- .pnd
- .png
- .pnx
- .pot
- .potm
- .potx
- .ppam
- .pps
- .ppsm
- .ppsx
- .ppt
- .pptm
- .pptx
- .prf
- .private
- .ps
- .psafe3
- .psd
- .pspimage
- .pst
- .ptx
- .pwm
- .py
- .qba
- .qbb
- .qbm
- .qbr
- .qbw
- .qbx
- .qby
- .qcow
- .qcow2
- .qed
- .qtb
- .r3d
- .raf
- .rar
- .rat
- .raw
- .rdb
- .re4
- .rm
- .rtf
- .rvt
- .rw2
- .rwl
- .rwz
- .s3db
- .safe
- .sas7bdat
- .sav
- .save
- .say
- .sd0
- .sda
- .sdb
- .sdf
- .sh
- .sldm
- .sldx
- .slm
- .sql
- .sqlite
- .sqlite-shm
- .sqlite-wal
- .sqlite3
- .sqlitedb
- .sr2
- .srb
- .srf
- .srs
- .srt
- .srw
- .st4
- .st5
- .st6
- .st7
- .st8
- .stc
- .std
- .sti
- .stm
- .stw
- .stx
- .svg
- .swf
- .sxc
- .sxd
- .sxg
- .sxi
- .sxm
- .sxw
- .tbb
- .tbn
- .tex
- .tga
- .thm
- .tif
- .tiff
- .tlg
- .tlx
- .txt
- .upk
- .usr
- .vbox
- .vdi
- .vhd
- .vhdx
- .vmdk
- .vmsd
- .vmx
- .vmxf
- .vob
- .wab
- .wad
- .wallet
- .war
- .wav
- .wb2
- .wma
- .wmf
- .wmv
- .wpd
- .wps
- .x11
- .x3f
- .xis
- .xla
- .xlam
- .xlk
- .xlm
- .xlr
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xlt
- .xltm
- .xltx
- .xlw
- .xml
- .xxx
- .ycbcra
- .yuv
- .zixis
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 3
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como RANSOM_CERBER.CAD
Step 4
Reiniciar en modo seguro
Step 5
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- {random filename from system32 folder} = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)
- AutoRun = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"(Note:This registry entry runs the malware each time start Command Processor (Cmd.exe) is executed)
- In HKEY_CURRENT_USER\Control Panel\Desktop
- SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- SCRNSAVE.EXE = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- Run = "%Application Data%\{GUID}\{random filename from system32 folder}.exe"
- In HKEY_CURRENT_USER\Printers\Defaults\{GUID}
- Component_01 = "{base64 of encoded key}"
- Component_01 = "{base64 of encoded key}"
- In HKEY_CURRENT_USER\Printers\Defaults\{GUID}
- Component_00 = "{encoded value}"
- Component_00 = "{encoded value}"
Step 7
Deleting Scheduled Tasks
- Abra el Administrador de tareas de Windows. Haga clic en Inicio>Programas>Accesorios>
Herramientas del sistema>Administrador de tareas. - Busque las tareas que tengan el siguiente valor en la columna Programa:
!!!REPLACE THIS!!! - Haga clic con el bot¨®n derecho del rat¨®n en el archivo o archivos que tengan el valor indicado.
- Haga clic en Propiedades. En el campo Ejecutar, busque la siguiente cadena:
Cmd /c /rd /s /q C: - Si la encuentra, elimine la tarea.
Step 8
Buscar y eliminar estos archivos
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %Application Data%\HeraldScaup.Yht
- %Application Data%\6.png
- %Application Data%\401-5.htm
- %Application Data%\3BSYBS1-DCSA_Alerts_05132015040011.xml
- %Application Data%\b_it.jpg
- %Application Data%\calendar.png
- %Application Data%\ETenms-B5-H
- %Application Data%\abstract.properties.xml
- %Application Data%\calendar2.png
- %Application Data%\Freetown
- %Application Data%\fop.jpg
- %Application Data%\akilok_yellow.png
- %Application Data%\callout.unicode.xml
- %Application Data%\dsc_backup_tile.png
- %Application Data%\EST5
- %Application Data%\AlienFusionService.InstallLog
- %Application Data%\Chongqing
- %Application Data%\draft.watermark.image.xml
- %Application Data%\eclipse.autolabel.xml
- %Application Data%\calendar.rdf
- %Application Data%\CommonMessages_es.xml
- %Application Data%\goURL_lr_photoshop_es.csv
- %Application Data%\communications-category.png
- %Application Data%\errorCallBack.c
- %Application Data%\adcjavas.inc
- %Application Data%\divide.js
- %Application Data%\clock.png
- %Application Data%\graphics.dir.xml
- %Application Data%\51-local.conf
- %Application Data%\goURL_lr_photoshop_cn.csv
- %Application Data%\City Twilight.hdt
- %Application Data%\fop.bat
- %Application Data%\Algiers
- %Application Data%\circlerund_selectionsubpicture.png
- %Application Data%\email.mailto.enabled.xml
- %Application Data%\Aden
- %Application Data%\built-with-forrest-button.png
- %Application Data%\cp_DManager.png
- %Application Data%\bluetooth.png
- %Application Data%\Shiel.TEx
- %Application Data%\CDRom.dll
- %User Temp\{random file name2}.bmp
- %Desktop%\# DECRYPT MY FILES #.txt
- %Desktop%\# DECRYPT MY FILES #.html
- %Desktop%\# DECRYPT MY FILES #.vbs
- {folders containing encrypted files}\# DECRYPT MY FILES #.txt
- {folders containing encrypted files}\# DECRYPT MY FILES #.html
- {folders containing encrypted files}\# DECRYPT MY FILES #.vbs
- %Application Data%\HeraldScaup.Yht
- %Application Data%\6.png
- %Application Data%\401-5.htm
- %Application Data%\3BSYBS1-DCSA_Alerts_05132015040011.xml
- %Application Data%\b_it.jpg
- %Application Data%\calendar.png
- %Application Data%\ETenms-B5-H
- %Application Data%\abstract.properties.xml
- %Application Data%\calendar2.png
- %Application Data%\Freetown
- %Application Data%\fop.jpg
- %Application Data%\akilok_yellow.png
- %Application Data%\callout.unicode.xml
- %Application Data%\dsc_backup_tile.png
- %Application Data%\EST5
- %Application Data%\AlienFusionService.InstallLog
- %Application Data%\Chongqing
- %Application Data%\draft.watermark.image.xml
- %Application Data%\eclipse.autolabel.xml
- %Application Data%\calendar.rdf
- %Application Data%\CommonMessages_es.xml
- %Application Data%\goURL_lr_photoshop_es.csv
- %Application Data%\communications-category.png
- %Application Data%\errorCallBack.c
- %Application Data%\adcjavas.inc
- %Application Data%\divide.js
- %Application Data%\clock.png
- %Application Data%\graphics.dir.xml
- %Application Data%\51-local.conf
- %Application Data%\goURL_lr_photoshop_cn.csv
- %Application Data%\City Twilight.hdt
- %Application Data%\fop.bat
- %Application Data%\Algiers
- %Application Data%\circlerund_selectionsubpicture.png
- %Application Data%\email.mailto.enabled.xml
- %Application Data%\Aden
- %Application Data%\built-with-forrest-button.png
- %Application Data%\cp_DManager.png
- %Application Data%\bluetooth.png
- %Application Data%\Shiel.TEx
- %Application Data%\CDRom.dll
- %User Temp\{random file name2}.bmp
Step 9
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como RANSOM_CERBER.CAD En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.