пятница, 11 марта 2016 г.

Cerber

Cerber Ramsomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.24 BTC, чтобы вернуть файлы обратно с помощью ключа дешифрования. Через неделю сумма выкупа удваивается до 2,48 BTC. К зашифрованным файлам добавляется расширение .cerber. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

© Генеалогия: Cerber > Cerber 2

  Cerber использует конфигурационный файл config.json, в котором прописано какие расширения шифровать, компьютеры каких стран не должны быть зашифрованы, какие файлы и папки не нужно шифровать, и другие сведения о конфигурации. Пока считается, что Cerber не заражает пользователей из России и стран СНГ (Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Туркменистан, Таджикистан, Узбекистан, Украина). 

  Записки с требованием выкупа называются #DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html и #DECRYPT MY FILES#.vbs. Файл VBS содержит звуковое сообщение с информацией, указанной в текстовых записках о выкупе. Для воспроизведения используется речевой синтезаторВ нижней части каждой записке о выкупе содержится латинское изречение: "Quod me non necat me fortiorem facit" (Что меня не убьёт, сделает сильнее). 
Варианты церберовских записок о выкупе

Так выглядят зашифрованные файлы

  Текста в этих записках о выкупе довольно много, пока пожертвуем этой информацией, ограничившись скриншотами. Для оплаты выкупа и дешифровки файлов предлагается перейти на сайт, расположенный в сети TOR по адресу decrypttozxybarc.onion 

  Интерфейс сайта доступен на 12 языках. Подробное пояснение по процессу оплаты смотрите по ссылке

Анализ на MalwareBytes >>>
Детект на VirusTotal >>>

  Перед началом шифрования файлов, Cerber требует перезагрузить ПК, отображая фальшивые ошибки (см. иллюстрации ниже). 
Компьютер принудительно загружается в безопасном режиме с поддержкой сетевых драйверов (Safe Mode with Networking), а потом еще раз перегружается, входя в нормальный режим. После этого шифровальщик начинает шифрование файлов. 

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3g2, .3gp, .3fr, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxg, .dxf, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .indd, .iiq, .incpas, .java, .jpe, .jpeg, .jpg, .jnt, .js, .kc2, .kdbx, .kdc, .key, .kwm, .kpdx, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell,  .mos, .mov, .mp3, .mp4, .mpg, .mpeg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .odb, .odf, .odg, .obj, .odc, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plus_muhd, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .say,  .sav, .save, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xlk, .xla, .xlam, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (377 расширений). 

При поиске целевых файлов для шифрования Cerber пропускает файлы bootsect.bak, IconCache.db, thumbs.db, wallet.dat или те, чьё полное название пути размещения включают в себя следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

  Распространяется Cerber через email-спам с вложенным документом Word, замаскированным под инвойс. При открытии этого файла предлагается включить макросы для правильного отображения содержимого. 

  Если пользователь согласится, то будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта. Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет вредоносному файлу получить легитимную активность в системе ПК.

Файлы, связанные с Cerber Ransomware:
HKCU\Control Panel\Desktop\SCRNSAVE.EXE     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Записи реестра, связанные с Cerber:
"%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Распространение Cerber: диаграмма от CheckPoint. 

Дополнения

  Этот криптомвымогатель один из самых продвинутых, причем, постоянно совершенствуется. С одним из новейших анализов этого вредоноса можно ознакомиться самостоятельно по этой ссылке. Скажем только, что на данный момент Cerber использует технику malware factory (фабрика вредоносов). Чтобы избежать обнаружения антивирусами на клиентской стороне, C&C-сервер генерирует бинарники с новым хешем раз в 15 секунд, т.е. каждые 15 секунд Cerber создает новую версию себя с незначительными изменениями в коде. 


  Ранее считалось, что Cerber был создан в феврале-марте 2016 года, но после тщательного изучения пейлоадов вредоноса было обнаружено сходство с подозрительным файлом, которые впервые был замечен в составе набора эксплойтов Neutrino в сентябре 2015 года.

  С мая 2016 злоумышленники изменили тактику заражения систем через документы. Вместо вредоносных макросов стали использоваться встроенные OLE-объекты. От пользователя требуется только разрешить использование объекта или контента внутри документа Office. После этого разрешения в систему установится Cerber Ransomware.
 
Схема доставки криптовымогателя Cerber на ПК жертв

Степень распространённости: очень высокая и перспективно высокая
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *