четверг, 4 августа 2016 г.

Cerber-2

Cerber-2 Ransomware 


   Новая версия криптовымогателя Cerber была обнаружена сразу несколькими исследователями, независимо друг от друга. Все они наблюдали за новой вариацией в течение прошлого месяца. 

© Генеалогия: Cerber > Cerber 2

Cerber Ransomware 2.0 имеет ряд существенных изменений от предыдущей версии, как внутренних, так и внешних. См. описание предыдущей версии.

Названия записок о выкупе не изменились. Содержание текстового файла также обширно и нудно, потому мы его опускаем и отдаём предпочтение другим деталям. 
HTML-версия записки о выкупе


Скринлок, встающий обоями рабочего стола

Внешние изменения:
Зашифрованные файлы получают расширение .cerber2. Раньше было — .cerber.
Используется значок из детской игры под название Anka. Но он может поменяться. 
Скринлок, встающий обоями рабочего стола, поменялся на мелкопиксельный фон. 
Ошибка, позволявшая ранее дешифровать зашифрованные файлы, увы, устранена. 
Так выглядят зашифрованный файлы

Значок исполняемого файла Anka

Внутренние изменения:
Вымогатель теперь использует упаковщик, чтобы осложнить обнаружение и анализ.
Для генерации ключа шифрования ныне используется API CryptGenRandom Microsoft.
Ключ генерируется теперь на 32 байта, а не 16 байт, как было в предыдущей версии. 
Файловых расширений, подвергающихся шифрованию, в новой версии стало больше. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 

Как и прежде, Cerber проверяет локализацию ПК и не шифрует файлы в ПК пользователей из следующих стран: Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Туркменистан, Узбекистан, Украина.

Примечательно, что в чёрном списке у Cerber v.2 прописаны следующие антивирусные программы: ArcaBit, ArcaVir, Avast, Bitdefender, Bullguard, CA, Emsisoft, ESET, eScan, eTrust, F-Secure, G Data, Kaspersky, Lavasoft, TrustPort. Это значит, что, обнаружив на ПК их присутствие, вымогатель просто не станет запускаться. 

Шифровальщик завершает следующие процессы:
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
sqlservr.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

Шифруются файлы в директориях:
:\\documents and settings\\all users\\documents\\
:\\appdata\\roaming\\microsoft\\office\\
:\\excel\\
:\\microsoft sql server\\
:\\onenote\\
:\\outlook\\
:\\powerpoint\\
:\\steam\\
:\\the bat!\\
:\\thunderbird\\

Не шифруются файлы: 
boot.ini
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаются файлы в директориях:
 :\\$recycle.bin\\ 
 :\\$windows.~bt\\ 
 :\\boot\\ 
 :\\documents and settings\\all users\\ 
 :\\documents and settings\\default user\\ 
 :\\documents and settings\\localservice\\ 
 :\\documents and settings\\networkservice\\ 
 :\\program files\\ 
 :\\program files (x86)\\ 
 :\\programdata\\ 
 :\\recovery\\ 
 :\\recycler\\ 
 :\\users\\all users\\ 
 :\\windows\\ 
 :\\windows.old\\ 
 :\\appdata\\local\\ 
 :\\appdata\\locallow\\ 
 :\\appdata\\roaming\\adobe\\flash player\\ 
 :\\appData\\roaming\\apple computer\\safari\\ 
 :\\appdata\\roaming\\ati\\ 
 :\\appdata\\roaming\\intel\\ 
 :\\appdata\\roaming\\intel corporation\\ 
 :\\appdata\\roaming\\google\\ 
 :\\appdata\\roaming\\macromedia\\flash player\\ 
 :\\appdata\\roaming\\mozilla\\ 
 :\\appdata\\roaming\\nvidia\\ 
 :\\appdata\\roaming\\opera\\ 
 :\\appdata\\roaming\\opera software\\ 
 :\\appdata\\roaming\\microsoft\\internet explorer\\ 
 :\\appdata\\roaming\\microsoft\\windows\\ 
 :\\application data\\microsoft\\ 
 :\\local settings\\ 
 :\\public\\music\\sample music\\ 
 :\\public\\pictures\\sample pictures\\ 
 :\\public\\videos\\sample videos\\ 
 :\\tor browser\\

 Степень распространённости: перспективно высокая. 
 Подробные сведения собираются.

Обновления августа 2017:
Фальш-копираты: CamStudio Group, Gentis Media Inc., Corel Corporation
Фальш-имена: Acotyledon.exe, Straightness.exe, Parameter.exe, Giobertite.exe
Результаты анализов: VT, VT, VT

Cerber с анти-канареечной технологией и защита от него
  Так называемые "canary files" (файлы-приманки, канарейки) являются техникой безопасности для раннего обнаружения атаки (шифровальщиков-вымогателей) Crypto-Ransomware. С помощью "canary files" защитные программы, например от Cybereason, отслеживают любые модификации в системе, при обнаружении попытки шифрования этих файлов, система безопасности сразу принимает контрмеры.
  Новая августовская модификация шифровальщика Cerber способна обходить эту меру. Чтобы избежать шифрования "канареек", Cerber теперь ищет файлы изображений (.png, .bmp, .tiff, .jpg и т.п.), а затем проверяет, действительно ли они являются файлами изображений. Обнаружив подозрительное несоответствие, Cerber теперь пропускает весь каталог, в котором обнаружил сомнительные файлы.
  Но новые возможности вымогателя Cerber можно использовать против него самого. Достаточно поместить всего один файл, изначально не являющийся изображением, например, txt-файл, в любую важную папку, переименовать его расширение на jpg или png, и тогда Cerber, приняв его за файл-приманку, не будет шифровать файлы во всей папке. Таким образом, можно защитить любую папку, содержащую ценные данные. Но если папок много, то эту операцию нужно выполнять для каждой папки. 

Источник >> 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton