Cerber 2, 3, 4: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#1
Версия 2 шифровальщика Cerber была обнаружена несколькими исследователями, которые наблюдали за ним в течение прошлого месяца. Получили распространение версии 1.5 и 2. Оставляем описание v.1.5 для антивирусных компаний и сразу переходим к версии 2.0.

Cerber 2.0 имеет ряд существенных изменений от предыдущей версии, как внутренних, так и внешних.

Осталось без изменений:
Названия записок о выкупе не изменились. Как и прежде, Cerber проверяет локализацию ПК и не шифрует файлы в ПК пользователей из стран: Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Туркменистан, Узбекистан, Украина. Ряд языковых локализаций проверяется еще по кириллице и латинице.

Внешние изменения:
Зашифрованные файлы теперь получили новое расширение .cerber2, вместо .cerber.
На exe-файл взят значок из детской игры под названием Anka. Его наличие некритично.
Изображение, меняющее обои рабочего стола имеет серый фон с зеленым текстом.
Оплошность, позволявшая ранее дешифровать зашифрованные файлы, была исправлена.




Внутренние изменения:
Шифровальщик теперь получил упаковщик, чтобы осложнить обнаружение и анализ.
Для генерации ключа шифрования стала использоваться API CryptGenRandom Microsoft.
Ключ генерируется теперь на 32 байта, а не 16 байт, как было в предыдущей версии.
Файловых расширений, подвергающихся шифрованию, в новой версии стало аж 456.

Не шифруются файлы:
boot.ini
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Перед шифрованием завершаются процессы:
excel.exe / infopath.exe / msaccess.exe/ mspub.exe / onenote.exe / outlook.exe / powerpnt.exe / winword.exe / visio.exe / wordpad.exe / steam.exe / sqlservr.exe / thebat.exe / thebat64.exe / thunderbird.exe

У Cerber v.2 в коде прописаны названия исполняемых модулей антивирусов: ArcaBit, ArcaVir, Avast, Bitdefender, Bullguard, CA, Emsisoft, ESET, eScan, eTrust, F-Secure, G Data, Kaspersky, Lavasoft, TrustPort. Т.е., если он обнаружит на ПК их присутствие, то просто сам не станет запускаться.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#2
Подробный доклад по Cerber RaaS и дешифровка Cerber v1 и 2

Check Point Software провели немалую работу по исследованию инцидентов, связанных с деятельностью Cerber 1 и Cerber 2 в разных странах. Их результаты отражены в подробном исследовательском отчёте и в создании сервиса дешифровки. Его можно скачать с сайта Check Point.

Доход от партнерской системы работы Cerber RaaS ошеломляет, это $195000 прибыли за июль, из которой разработчики RaaS берут себе 40%. Это составляет $78000 прибыли разрабов вредоносов в июле и сулит им $946000 в прогнозе на год!

Разработчики Cerber управляют C&C-серверами, партнерской системой, центром поддержки дистрибьюторов-аффилятов, а также получают доход от программирования новых вымогателей, в то время как филиалы распространяют вымогателей, чтобы заражают своих жертв по всему миру.

Для того, чтобы объяснить, как работает партнерская система Cerber RaaS, Check Point выпустила инфографику, представленную ниже.


Мониторинг деятельности Cerber RaaS позволил выявить различные кампании по распространению, выполняемые филиалами Cerber для заражения жертв. Начав с кампании по распространению эксплойтов по email, Cerber показал стратегию развития, дойдя до распространения Ransomware-инсталляторов. Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.


Благодаря работе Check Point бесплатная дешифровка зашифрованных Cerber/Cerber2 файлов теперь возможна. Но, к сожалению, как это часто бывает, разработчики тоже уже могли прочитать доклад исследователей и обнаружить использованные для дешифровки прорехи, потому, вероятно, уже закрыли дыру в безопасности в своей системе или сделают это в ближайшее время. Затем они могут изменить мастер-ключ дешифрования, чтобы будущие жертвы Cerber-ов не смогли использовать декриптор от компании Check Point.

Несмотря на это, множеству людей в настоящее время будет оказана помощь в дешифровке, потому это настоящая победа хороших парней!

 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#3
Cerber начал использовать расширение .cerber3 для зашифрованных файлов.

Cerber 3 является продолжением Cerber 2 и также использует диапазон IP-адресов 31.184.234.0/23 для целей статистики.

Файлы, играющие роль записок с требованиями выкупа, теперь называются:
# HELP DECRYPT #.html
# HELP DECRYPT #.txt
# HELP DECRYPT #.url

Рис. Зашифрованные файлы и записки о выкупе теперь выглядят так.
 
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#4
Я, оказывается, совсем забыл тогда разместить скриншоты элементов Cerber 3.


Рис.2. Верхняя часть записки о выкупе


Рис.3. Скринлок, встающий обоями рабочего стола


Рис.4. Капча, которую поставили дэвы Cerber-а на своем сайте оплаты дешифровки, после взлома и дешифровки 1-2-й версий.
***************************************************************************
Теперь, всвязи с выходом ещё более новой версии Cerber-а, будет с чем сравнивать.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#5
Ребильд Cerber (Cerb3r) Ransomware

Новые записки о выкупе:
@___README___@.txt
@___README___@.html
@___README___@.url

Размещение новых записок о выкупе:
%USERPROFILE%\Desktop\@___README___@.txt
%USERPROFILE%\Desktop\@___README___@.html
%USERPROFILE%\Desktop\@___README___@.url

Удаление теневых копий файлов
%WINDIR%\system32\wbem\wmic.exe shadowcopy delete


+ плюс ещё 7 экранов текста
В тексте указаны еще старые названия записок о выкупе.


Скринлок. Адреса после "/" изменились.

 
Последнее редактирование модератором:

mike 1

Активный пользователь
Сообщения
2,391
Симпатии
918
Баллы
383
#7
Сайт Ammyy Admin был взломан и распространял шифровальщик Cerber 3
Официальный веб-сайт программы удаленного доступа Ammyy Admin был подвергнут атаке и использовался для распространения вредоноcной программы на протяжении неопределенного времени
Портал Softpedia обнаружил проблему после получения тревожных комментариев от пользователей, которые сообщали о заражениях после использования сайта Ammyy Admin.


proxy.php?image=http%3A%2F%2Fcdn.comss.net%2Fimg%2F092016%2F2016-09-15_19-52-50.png&hash=6b816628e62c87fcd33e29244183fef9


Вот что сообщали пользователи:
“Загрузил Ammyy Admin на два компьютера сегодня утром. Теперь файлы на обоих машинах зашифрованы. Я знаю точно, что проблема связана именно с сайтом Ammyy Admin, потому что это единственный сайт, который я посещал на одном из компьютеров. Электронных сообщений на данном компьютере нет.”
“Мой компьютер был тоже заражен из-за этого сайта. Только что завершил очистку компьютера от шифратора, держитесь подальше от данного сайта!”
После получения комментариев Softpedia сразу же связалась с Лоуренсом Адамсом (Lawrence Abrams), представителем портала Bleeping Computer, и провела тестирование для анализа заражения и выяснения, что именно не так с сайтом.
Все тесты имели негативные результаты, но сегодня исследователь безопасности из команды MalwareHunterTeam сообщил Softpedia, что эти усилия были напрасны, потому сайт стал распространять чистый установщик, начиная с 14 сентября 21:00-23:00 по московскому времени.


Сайт Ammyy Admin был взломан как минимум 2 дня
Зараженный установщик Ammyy Admin, который удалось получить MalwareHunterTeam, был загружен на VirusTotal 20 раз 19 различными пользователями между 14 сентября 07:47:04 и 15 сентября 06:50:39.
Некоторые пользователи имеют очень полезную привычку проверять загружаемые файлы с помощью сервиса VirusTotal. Таким образом, указанный период вероятно относится к промежутку времени, когда сайт был заражен, и некоторые пользователи смогли проверить файл онлайн.
Гибридный анализ файла показал, что внутри него расположен бинарный файл под названием “encrypted.exe”, запакованный вместе с оригинальным установщиком AA_v3.exe. Каждый пользователь, который запустит установщик, также автоматически откроет скрытый файл, который установит шифровальщик Cerber.

Ammyy Admin распространял новейшую версию трояна-шифратора Cerber
Cerber, обнаруженный в начале года, имеет несколько веток, некоторые из которых были взломаны, после чего исследователи смогли создать дескрипторы, чтобы помочь жертвам трояна восстановить свои файлы.

proxy.php?image=http%3A%2F%2Fcdn.comss.net%2Fimg%2F092016%2Fammyy-admin-website-compromised-to-spread-cerber-3-ransomware.jpg&hash=79a1260cc8eb8fc0d7639e4460f8723f

Файл, распространяемый на сайте Ammyy Admin, содержал последнюю, третью версию, которая после шифрования файлов присваивает им расширение .cerber3. Эта версия еще не была взломана на момент написания статьи.
Исследователи из MalwareHunterTeam сообщили Softpedia, что они не уведомляли администратора сайта о взломе, и прекращение распространения угрозы могло быть остановлено автоматически. Либо киберпреступники поняли, что они раскрыты, либо решили подготовить новую версию установщика Ammyy, который будет распространять другие виды вредоносных программ.

Сайт Ammyy Admin успел распространить 6 видов вредоносных приложений
В прошлом ESET и Kaspersky публиковали отчеты о том, какие виды зловредов распространяет этот сайт. В разное время Ammyy Admin использовался для распространения банковских троянов Ranbyus, Lurk и Buhtrap, троянов CoreBot и Fareit, а также NetWire RAT.
ESET сообщал, что сайт Ammyy Admin распространял вредоносные программы в октябре и ноябре 2015 года, а Kaspersky упоминает аналогичные инциденты в феврале и июле 2016 года.
Softpedia запросила комментарии от команды Ammyy Admin. На момент написания статьи файлы сайта являются чистыми, но нет никаких гарантий, что ничего не изменится, учитывая богатое темное прошлое.
Некоторые пользователи считают, что частые взломы сайта являются чем-то большим, чем простым совпадением.

Источник: Сайт Ammyy Admin был взломан и распространял шифровальщик Cerber 3
 
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#8
Судя по некоторым детектам VT, HA и по адресам на скринлоке, это не "официальная" версия цербера, а просто кто-то решил подзаработать. Результаты анализов не совпадают с теми, что я получил на переходном этапе цербера.
При таком безалаберном отношении команды Ammyy, не удивлюсь, если потом окажется, что их бывший сотоварищ "играется".
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#9
Cerber Ransomware v.2 и v.3, переходная неназванная версия, в том числе Cerber RaaS продолжают победоносное шествие по планете.

В настоящее время фиксируются 80000 инфекций в день по сравнению с 6000/день в прошлом месяце.
Похоже на то, что у Cerber дистрибьюторских филиалов заметно прибавилось.

 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#10
Cerber: Переход к четырёхзнаковому расширению

У Cerber Rans., после использования расширения .cerber3, наметилась тенденция перехода от статического расширения для зашифрованных файлов к случайному расширению, состоящему из 4 случайных знаков. Имя файла также переименовывается случайным образом.

Например, если раньше файл назывался бы 5NgPiSr5zo.cerber3, то теперь будет уже типа 1xQHJgozZM.b71c

Возможно, что это промежуточная версия от 3-й к 4-й, а может проходить и как отдельное направление. Эта версия также включает в себя новую записку с требованиями выкупа, под названием README.hta


По мнению исследователей, это обновление скажется и на изменениях в конфигурации, в частности на завершении определённых работающих процессов в системе перед началом шифрования, т.к. они могут помешать шифрованию некоторых групп файлов (код обрезан):
Код:
"close_process":
["msftesql.exe","sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe","oracle.exe","ocssd.exe","dbsnmp.exe","synctime.exe","mydesktopqos.exe","agntsvc.exeisqlplussvc.exe","xfssvccon.exe","mydesktopservice.exe","ocautoupds.exe","agntsvc.exeagntsvc.exe","agntsvc.exeencsvc.exe","firefoxconfig.exe","tbirdconfig.exe","ocomm.exe","mysqld.exe","mysqld-nt.exe","mysqld-opt.exe","dbeng50.exe","sqbcoreservice.exe"]
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#11
Как показал анализ, новая версия вымогателя отключает не просто больше процессов, а больше процессов, связанных с базами данных. Это процессы msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe и др. из поста выше.

Таким образом, можно считать фактом, что цель новой версии шифровальщика – охватить при шифровании как можно больше ценной для корпоративной среды информации, чтобы повысить вероятность того, что владелец заплатит за восстановление файлов.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#12
Cerber 4.0: уже наверняка

С переходом вымогательского ПО Cerber к четырёхзнаковому расширению стало понятным, что выдана на-гора 4-я версия.

О Cerber Ransomware 4.0 из его рекламы, предоставленной разработчиками свои клиентам:
– FUD на топовых антивирусах (скантайм / рантайм);
– Обход мониторинга активности (массовое изменение, обход ханипотов и т.д.);
– Обход всех известных anti-ransomware программ;
– Работает 5 крипторов 7 дней в неделю;
– Обновленный морф;
– Новые инструкции на 13 языках + новый фон;
– Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет);
– Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования;
– Новые типы файлов для шифрования;
– Закрытие запущенных процессов всех топовых баз данных;
– Обновленный JS Loader;
– Новые onion домены и многое другое.

Популярность RaaS Cerber 4 растет ежечасно. Распространяется с помощью наборов эксплойтов (RIG, Magnitude, немного Neutrino), в том числе в известной вредоносной кампании PseudoDarkleech, а также с помощью "Casino" Malwertising, "NeutrAds" Malwertising, Fake AD, Andromeda, Betabot и др.

Целевые страны: США, страны Азии (Тайвань, Корея, Гонконг, Сингапур и Китай) и Европы (Германия, Испания, Польша, Великобритания, Франция и др.).

Отчёт Trend Micro
 
Последнее редактирование:

mike 1

Активный пользователь
Сообщения
2,391
Симпатии
918
Баллы
383
#13
Шифровальщик Цербер теперь показывает номер своей версии в записках с требованием выкупа


Шифровальщик Цербер 4 версии был выпущен относительно недавно, но теперь номер его версии отображается в записках с требованием выкупа, а также в качестве фона рабочего стола. До этого единственным способом определения версии шифровальщика Цербер было его расширение, которое он добавлял к зашифрованным файлам. Сейчас эта информация отображается в записках с требованием выкупа, как показано ниже:


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Fc%2Fcerber%2F4.1.0%2Fwallpaper-version.png&hash=c54b39c2224c66b51fec9b4f350b3586

Рис. 1 Фон рабочего стола, на котором отображается версия шифровальщика
Примечание: Вскоре после публикации этой статьи была обнаружена более новая версия 4.1.1!


Как и в предыдущих версиях, эта версия продолжает использовать расширение для зашифрованных файлов, которое основано на значении параметра MachineGuid ключа реестра HKLM\Software\Microsoft\Cryptography.

По даннымFortinet:

Цербер помечает зашифрованные файлы определенным расширением. В предыдущих версиях (Цербер 2 и 3) зашифрованные файлы получали расширение .cerber2 и .cerber3, соответственно. Для этой версии зашифрованные файлы помечаются расширением состоящих из четырех символов. Это расширение из четырех символов — четвертый участок из «MachineGuid», параметра ключа реестра HKLM\Software\Microsoft\Cryptography. Например, расширение у зашифрованного файла будет AAAA, если значение параметра MachineGuid будет xxxxxxxx-xxxx-xxxx-AAAA-xxxxxxxxxxxx.

В то время как основная записка с требованием выкупа по-прежнему отображается, как HTA файл с именем Readme.hta, есть некоторые и другие различия, которые происходят в фоновом режиме. Например, последние версии Цербера перешли на новый диапазон IP-адресов, на которые он будет отправлять UDP пакеты для статистических целей. Диапазон IP адресов 194.165.16.0/22:

proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Fc%2Fcerber%2F4.1.0%2Fudb-packets.png&hash=639903bf8fd30be65ea21691822b5cae

Рис. 2 Статистика отправленных UDP-пакетов Цербером​

Наконец, в этой версии я заметил HTTP-запрос, выполняемый к Bitcoin бирже через браузер:

Код:
http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382
Этот URL-адрес возвращает JSON-документ, который содержит сведения о транзакциях для bitcoin кошелька 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt. Небольшой фрагмент возвращаемой информации представлен ниже:


Код:
{"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d6643cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f643c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcdef3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},
В настоящее время неизвестно, какова цель этого запроса.

 
Сверху Снизу