суббота, 2 апреля 2016 г.

Русскоязычный вымогатель CERBER умеет разговаривать

CERBER шифровальщик-вымогатель требует выкуп голосом
На просторах сети встречается не так много вирусов с явными признаками корней из стран СНГ, но недавно исследователи Bleeping Computer и Malwarebytes обнаружили в глобальной сети шифровальщик-вымогатель.
Поберушка под названием CERBER после шифрования данных использует речевой синтезатор чтобы потребовать у пользователя выкуп 1,24 BTC, что составляет примерно пятьсот американских рублей. Для создания речевых посланий через синтезатор речи CERBER создает VBScript файлы (Visual Basic Scripting Edition), а так же простые веб-страницы HTML (HyperText Markup Language)  с текстовым требованием о выкупе. Данные послания размещаются во всех директориях и имеют имена:


  •  # DECRYPT MY FILES #.html
  • # DECRYPT MY FILES #.txt
  • # DECRYPT MY FILES #.vbs
Шифровальная вирусня свободно распространяется создателями в теневом интернете и на спец.форумах  как услуга для хакеров , за использование которой разработчики берут лишь процент с каждого выкупа. Комиссия очень мала, поэтому данная услуга быстро набирает обороты.

Процесс шифрования:
Попадая в компьютер вирус-шифровальщик первым делом проверяет местоположения рабочей станции и завершает свою работу, если пользователь находится в одной из следующих русскоязычных стран:
просьба CERBER о перезагрузке компьютера

  • Россия
  • Украина
  • Беларусь
  • Грузия
  • Армения
  • Азербайджан
  • Казахстан
  • Кыргыстан
  • Молдова
  • Туркмениятан
  • Узбекистан
  • Таджикистан
Если компьютер находится вне данного списка стран, то вымогатель сразу устанавливается в директорию
%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\
И именует себя в один из исполняемых файлов Windows, после чего выкинет фальшивое окно с ошибкой, чтобы заставить пользователя перезагрузить ПК. Если процесса перезагрузки не происходит, то вирус продолжает выкидывать алерты с просьбой перезагрузить компьютер.

После перезагрузки машина запустится в безопасном режиме с поддержкой сетевых драйверов, но при входе в систему ПК снова перезагрузится и запустится в обычном режиме.
Далее следует процесс шифрования.

Шифруются файлы алгоритмом AES-256 и меняет расширение каждого зашифрованного файла на .CERBER. К примеру файл с именем test.doc может быть переименован в D4fGh5ITo03k.cerber.
Список расширений файлов которые шифрует вымогатель огромен:

.contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv
 Расшифровка файлов:
На данный момент инструменты для расшифровки файлов зашифрованных вирусом CERBER отсутствуют.
В оставленных на рабочем столе и в каждой директории где зашифрованы файлы посланиях от вымогателя указаны ссылка на теневой ресурс в сети TOR (на 12 языках), где можно произвести оплату в биткоинах, чтобы расшифровать файлы.
После выбора языка и ввода каптчи Вы попадете на главную страницу Cerber Decryptor, где увидите сообщение о том, что сумма выкупа дешифровщика увеличиться через семь дней при отсутствии оплаты.
После того как оплата произведена и подтверждена страница выдаст ссылку на скачивания уникального дешифровщика.

Cerber Decryptor просьба об оплате расшифровки
Требование выкупа CERBER

Ну и внизу просьбы о внесении выкупа немного хакерского юмора. Фраза на латыни "То, что не убивает меня, делает меня сильнее".
Файлы ассоциируемые с вирусом CERBER и ключ реестра можно увидеть тут http://em-bezopasnost.blogspot.ru/2016/04/cerber.html


Автор: BOMBERuss Егор Юрьевич Андреев

Полезная статья? Поделись ей с друзьями. Им будет интересно)))

Дата последнего изменения:

Комментариев нет:

Отправить комментарий

Не забудьте оставить комментарий- нам важно Ваше мнение!

▲ВВЕРХ▲