Cerber

Cerber Ramsomware

(шифровальщик-вымогатель, говорящий вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.24 BTC, чтобы вернуть файлы обратно с помощью ключа дешифрования. Через неделю сумма выкупа удваивается до 2,48 BTC. 

© Генеалогия: Cerber > Cerber 2

К зашифрованным файлам добавляется расширение .cerber

Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  Cerber использует конфигурационный файл config.json, в котором прописано какие расширения шифровать, компьютеры каких стран не должны быть зашифрованы, какие файлы и папки не нужно шифровать, и другие сведения о конфигурации. Пока считается, что Cerber не заражает пользователей из России и стран СНГ (Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Туркменистан, Таджикистан, Узбекистан, Украина). 

  Записки с требованием выкупа называются 

#DECRYPT MY FILES#.txt 

#DECRYPT MY FILES#.html 

#DECRYPT MY FILES#.vbs 

Файл VBS содержит звуковое сообщение с информацией, указанной в текстовых записках о выкупе. Для воспроизведения используется речевой синтезатор. В нижней части каждой записке о выкупе содержится латинское изречение: "Quod me non necat me fortiorem facit" (Что меня не убьёт, сделает сильнее). 

Варианты церберовских записок о выкупе

Так выглядят зашифрованные файлы

  Текста в этих записках о выкупе довольно много, пока пожертвуем этой информацией, ограничившись скриншотами. Для оплаты выкупа и дешифровки файлов предлагается перейти на сайт, расположенный в сети TOR по адресу decrypttozxybarc.onion 

  Интерфейс сайта доступен на 12 языках. Подробное пояснение по процессу оплаты смотрите по ссылке. 

  Перед началом шифрования файлов, Cerber требует перезагрузить ПК, отображая фальшивые ошибки (см. иллюстрации ниже). 

Компьютер принудительно загружается в безопасном режиме с поддержкой сетевых драйверов (Safe Mode with Networking), а потом еще раз перегружается, входя в нормальный режим. После этого шифровальщик начинает шифрование файлов. 

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3g2, .3gp, .3fr, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxg, .dxf, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .indd, .iiq, .incpas, .java, .jpe, .jpeg, .jpg, .jnt, .js, .kc2, .kdbx, .kdc, .key, .kwm, .kpdx, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell,  .mos, .mov, .mp3, .mp4, .mpg, .mpeg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .odb, .odf, .odg, .obj, .odc, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plus_muhd, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .say,  .sav, .save, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xlk, .xla, .xlam, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (377 расширений). 

При поиске целевых файлов для шифрования Cerber пропускает файлы bootsect.bak, IconCache.db, thumbs.db, wallet.dat или те, чьё полное название пути размещения включают в себя следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

  Распространяется Cerber через email-спам с вложенным документом Word, замаскированным под инвойс. При открытии этого файла предлагается включить макросы для правильного отображения содержимого. 

  Если пользователь согласится, то будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта. Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет вредоносному файлу получить легитимную активность в системе ПК.

Файлы, связанные с Cerber Ransomware:
HKCU\Control Panel\Desktop\SCRNSAVE.EXE     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Записи реестра, связанные с Cerber:
"%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Распространение Cerber: диаграмма от CheckPoint. 

Анализ на MalwareBytes >>>
Детект на VirusTotal >>>

Образец с более ранней датой (17-10-2014) : VT + AR

Сообщение >>

Дополнения

  Этот криптомвымогатель один из самых продвинутых, причем, постоянно совершенствуется. С одним из новейших анализов этого вредоноса можно ознакомиться самостоятельно по этой ссылке. Скажем только, что на данный момент Cerber использует технику malware factory (фабрика вредоносов). Чтобы избежать обнаружения антивирусами на клиентской стороне, C&C-сервер генерирует бинарники с новым хешем раз в 15 секунд, т.е. каждые 15 секунд Cerber создает новую версию себя с незначительными изменениями в коде. 

  Ранее считалось, что Cerber был создан в феврале-марте 2016 года, но после тщательного изучения пейлоадов вредоноса было обнаружено сходство с подозрительным файлом, которые впервые был замечен в составе набора эксплойтов Neutrino в сентябре 2015 года. 

  С мая 2016 злоумышленники изменили тактику заражения систем через документы. Вместо вредоносных макросов стали использоваться встроенные OLE-объекты. От пользователя требуется только разрешить использование объекта или контента внутри документа Office. После этого разрешения в систему установится Cerber Ransomware.

 

Схема доставки криптовымогателя Cerber на ПК жертв

Степень распространённости: очень высокая и перспективно высокая. 
Подробные сведения собираются.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Cerber)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.