mike 1
02.11.2016, 20:29
Шифровальщик Цербер теперь показывает номер своей версии в записках с требованием выкупа
Шифровальщик Цербер 4 версии был выпущен относительно недавно, но теперь номер его версии отображается в записках с требованием выкупа, а также в качестве фона рабочего стола. До этого единственным способом определения версии шифровальщика Цербер было его расширение, которое он добавлял к зашифрованным файлам. Сейчас эта информация отображается в записках с требованием выкупа, как показано ниже:
http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/wallpaper-version.png
Рис. 1 Фон рабочего стола, на котором отображается версия шифровальщика
Примечание: Вскоре после публикации этой статьи была обнаружена более новая версия 4.1.1!
Как и в предыдущих версиях, эта версия продолжает использовать расширение для зашифрованных файлов, которое основано на значении параметра MachineGuid ключа реестра HKLM\Software\Microsoft\Cryptography.
По данным Fortinet (https://blog.fortinet.com/2016/10/31/the-first-major-update-of-cerber-4-ransomware-has-surfaced):
Цербер помечает зашифрованные файлы определенным расширением. В предыдущих версиях (Цербер 2 и 3) зашифрованные файлы получали расширение .cerber2 и .cerber3, соответственно. Для этой версии зашифрованные файлы помечаются расширением состоящих из четырех символов. Это расширение из четырех символов — четвертый участок из «MachineGuid», параметра ключа реестра HKLM\Software\Microsoft\Cryptography. Например, расширение у зашифрованного файла будет AAAA, если значение параметра MachineGuid будет xxxxxxxx-xxxx-xxxx-AAAA-xxxxxxxxxxxx.
В то время как основная записка с требованием выкупа по-прежнему отображается, как HTA файл с именем Readme.hta, есть некоторые и другие различия, которые происходят в фоновом режиме. Например, последние версии Цербера перешли на новый диапазон IP-адресов, на которые он будет отправлять UDP пакеты для статистических целей. Диапазон IP адресов 194.165.16.0/22:
http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/udb-packets.png
Рис. 2 Статистика отправленных UDP-пакетов Цербером
Наконец, в этой версии я заметил HTTP-запрос, выполняемый к Bitcoin бирже через браузер:
http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382
Этот URL-адрес возвращает JSON-документ, который содержит сведения о транзакциях для bitcoin кошелька 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt. Небольшой фрагмент возвращаемой информации представлен ниже:
{"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d66 43cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f64 3c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f 2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcde f3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15 d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},
В настоящее время неизвестно, какова цель этого запроса.
http://www.bleepingcomputer.com/news/security/cerber-ransomware-4-10-now-shows-the-version-number-in-ransom-notes/
Шифровальщик Цербер 4 версии был выпущен относительно недавно, но теперь номер его версии отображается в записках с требованием выкупа, а также в качестве фона рабочего стола. До этого единственным способом определения версии шифровальщика Цербер было его расширение, которое он добавлял к зашифрованным файлам. Сейчас эта информация отображается в записках с требованием выкупа, как показано ниже:
http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/wallpaper-version.png
Рис. 1 Фон рабочего стола, на котором отображается версия шифровальщика
Примечание: Вскоре после публикации этой статьи была обнаружена более новая версия 4.1.1!
Как и в предыдущих версиях, эта версия продолжает использовать расширение для зашифрованных файлов, которое основано на значении параметра MachineGuid ключа реестра HKLM\Software\Microsoft\Cryptography.
По данным Fortinet (https://blog.fortinet.com/2016/10/31/the-first-major-update-of-cerber-4-ransomware-has-surfaced):
Цербер помечает зашифрованные файлы определенным расширением. В предыдущих версиях (Цербер 2 и 3) зашифрованные файлы получали расширение .cerber2 и .cerber3, соответственно. Для этой версии зашифрованные файлы помечаются расширением состоящих из четырех символов. Это расширение из четырех символов — четвертый участок из «MachineGuid», параметра ключа реестра HKLM\Software\Microsoft\Cryptography. Например, расширение у зашифрованного файла будет AAAA, если значение параметра MachineGuid будет xxxxxxxx-xxxx-xxxx-AAAA-xxxxxxxxxxxx.
В то время как основная записка с требованием выкупа по-прежнему отображается, как HTA файл с именем Readme.hta, есть некоторые и другие различия, которые происходят в фоновом режиме. Например, последние версии Цербера перешли на новый диапазон IP-адресов, на которые он будет отправлять UDP пакеты для статистических целей. Диапазон IP адресов 194.165.16.0/22:
http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/udb-packets.png
Рис. 2 Статистика отправленных UDP-пакетов Цербером
Наконец, в этой версии я заметил HTTP-запрос, выполняемый к Bitcoin бирже через браузер:
http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382
Этот URL-адрес возвращает JSON-документ, который содержит сведения о транзакциях для bitcoin кошелька 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt. Небольшой фрагмент возвращаемой информации представлен ниже:
{"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d66 43cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f64 3c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f 2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcde f3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15 d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},
В настоящее время неизвестно, какова цель этого запроса.
http://www.bleepingcomputer.com/news/security/cerber-ransomware-4-10-now-shows-the-version-number-in-ransom-notes/