Как показал анализ, проведенный силами BleepingComputer, вымогатель Cerber не только шифрует файлы, но также способен излагать свои требования вслух.

Способ распространения нового криптоблокера пока не установлен, известно лишь, что на настоящий момент он предлагается как услуга (RaaS) на одном из русскоязычных закрытых хакерских форумов.

Cerber устанавливается в папку %AppData% как исполняемый файл Windows с произвольным именем — к примеру, autochk.exe. Затем он меняет настройки Windows таким образом, чтобы при следующем перезапуске ОС включился безопасный режим с поддержкой сети (Safe Mode with Networking). После этого зловред наводит порядок в собственных настройках: задает автозапуск при входе жертвы в систему, исполнение в качестве экранной заставки при бездействии компьютера, а также отдельную задачу на исполнение с интервалом в одну минуту.

В последнем случае Cerber показывает пользователю массу поддельных предупреждений, связанных с выходом из системы, и инициирует перезагрузку. При рестарте Windows включается в безопасном режиме, но после авторизации пользователя автоматически завершает работу и загружается вновь, уже в нормальном режиме. Зачем вымогателю нужна эта смена режимов, исследователи пока не поняли, однако исполнение основного кода Cerber происходит лишь после всех этих перезагрузок.

Примечательно, что после запуска Cerber вначале сверяется со списком стран, включенным в его конфигурационный файл. Если жертва находится в России или одной из стран бывшего СНГ (кроме Грузии и Прибалтики), он завершает свой процесс, и шифрования не происходит.

При шифровании блокер оперирует большим списком рекомендованных расширений, а также списком файлов и папок, которые ему трогать нельзя. При этом он способен также отыскивать и шифровать файлы в общих сетевых папках, не отображенных на данном компьютере. Шифрование осуществляется ключом AES-256, притом шифруется не только содержимое, но также имя файла, в конец которого подставляется расширение .cerber.

За расшифровку вымогатели требуют 1,24 биткойна (около $500), для оплаты предлагают пройти на сайт, размещенный в сети Tor. По свидетельству BleepingComputer, блокер создает три сообщения с требованием выкупа (.html, .txt и .vbs) на рабочем столе и в папках с зашифрованными файлами. Каждое из этих сообщений завершается изречением на латыни «Quod me non necat me fortiorem facit» («То, что меня не убивает, делает меня сильнее»).

Один из файлов с инструкциями вымогателей, DECRYPT MY FILES.vbs, содержит, как следует из расширения, VBS-скрипт, который при отработке воспроизводит голосовое сообщение, причем многократно. Судя по скриншоту, приведенному в отчете BleepingComputer, вирусописатели в данном случае используют SAPI-интерфейс Microsoft, предназначенный для распознавания и синтеза речи:

Cerber - VBS-скрипт

Размещенный в onion-домене сайт Cerber Decryptor доступен на 12 языках, в основном европейских, а также на японском, китайском, турецком и арабском. После выбора языка посетителю предлагается пройти тест CAPTCHA, чтобы попасть на главную страницу. Здесь визитеру объясняют, как провести платеж, и предупреждают, что в случае неуплаты в течение семи дней размер выкупа удвоится.

К сожалению, на настоящий момент у жертв Cerber нет возможности расшифровать свои файлы бесплатно. Единственный выход для них, как отмечают эксперты, — восстановление из резервных копий, если таковые имеются. Для пострадавших от этой инфекции и всех, кого интересует данная проблема, на форуме BleepingComputer создана специальная ветка — CERBER Ransomware Support and Help Topic.

Категории: Аналитика, Вредоносные программы