Шифровальщик Цербер теперь показывает номер своей версии в записках с требованием выкупа

[CENTER][SIZE=5][COLOR=#141414][FONT=Tahoma][B]Шифровальщик Цербер теперь показывает номер своей версии в записках с требованием выкупа[/B][/FONT][/COLOR][/SIZE][/CENTER]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]Шифровальщик Цербер 4 версии был выпущен относительно недавно, но теперь номер его версии отображается в записках с требованием выкупа, а также в качестве фона рабочего стола. До этого единственным способом определения версии шифровальщика Цербер было его расширение, которое он добавлял к зашифрованным файлам. Сейчас эта информация отображается в записках с требованием выкупа, как показано ниже:[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[CENTER][COLOR=#141414][FONT=Tahoma][IMG]http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/wallpaper-version.png[/IMG]
[/FONT][/COLOR]
[B][COLOR=#141414][FONT=Tahoma]Рис. 1 Фон рабочего стола, на котором отображается версия шифровальщика[/FONT][/COLOR][/B]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR][/CENTER]
[COLOR=#141414][FONT=Tahoma][B]Примечание:[/B] Вскоре после публикации этой статьи была обнаружена более новая версия 4.1.1![/FONT][/COLOR][COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]Как и в предыдущих версиях, эта версия продолжает использовать расширение для зашифрованных файлов, которое основано на значении параметра MachineGuid ключа реестра HKLM\Software\Microsoft\Cryptography. [/FONT][/COLOR]

[COLOR=#141414][FONT=Tahoma]По данным [URL="https://blog.fortinet.com/2016/10/31/the-first-major-update-of-cerber-4-ransomware-has-surfaced"]Fortinet[/URL]:

[/FONT][/COLOR][QUOTE]
[COLOR=#141414][FONT=Tahoma]Цербер помечает зашифрованные файлы определенным расширением. В предыдущих версиях (Цербер 2 и 3) зашифрованные файлы получали расширение [B].cerber2[/B] и [B].cerber3[/B], соответственно. Для этой версии зашифрованные файлы помечаются расширением состоящих из четырех символов. Это расширение из четырех символов — четвертый участок из «[B]MachineGuid[/B]», параметра ключа реестра [B]HKLM\Software\Microsoft\Cryptography[/B]. Например, расширение у зашифрованного файла будет AAAA, если значение параметра MachineGuid будет xxxxxxxx-xxxx-xxxx-[B]AAAA[/B]-xxxxxxxxxxxx.
[/FONT][/COLOR][/QUOTE][COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR][CENTER]
[/CENTER]

[COLOR=#141414][FONT=Tahoma]В то время как основная записка с требованием выкупа по-прежнему отображается, как HTA файл с именем [B]Readme.hta[/B], есть некоторые и другие различия, которые происходят в фоновом режиме. Например, последние версии Цербера перешли на новый диапазон IP-адресов, на которые он будет отправлять UDP пакеты для статистических целей. Диапазон IP адресов 194.165.16.0/22:
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[CENTER][COLOR=#141414][FONT=Tahoma][IMG]http://www.bleepstatic.com/images/news/ransomware/c/cerber/4.1.0/udb-packets.png[/IMG]
[/FONT][/COLOR]
[B][COLOR=#141414][FONT=Tahoma]Рис. 2 Статистика отправленных UDP-пакетов Цербером [/FONT][/COLOR][/B][/CENTER]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]Наконец, в этой версии я заметил HTTP-запрос, выполняемый к Bitcoin бирже через браузер: [/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma][code]http://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1478029284382[/code][/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]Этот URL-адрес возвращает JSON-документ, который содержит сведения о транзакциях для bitcoin кошелька 17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt. Небольшой фрагмент возвращаемой информации представлен ниже:[/FONT][/COLOR][COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma][code]{"status":"success","data":{"address":"17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt","limit_txs":200,"nb_txs":81,"nb_txs_displayed":81,"txs":[{"tx":"2af89aa42c1661b149415dc31d1a67fff606d00736845a2d6643cebc8e8f711f","time_utc":"2016-10-30T11:52:50Z","confirmations":385,"amount":0.48359753,"amount_multisig":0},{"tx":"c7ec1553d486beed27123e8b6ef2e4b3c6e310049a2f8f1f643c9b15d63d3d3d","time_utc":"2016-10-30T11:44:49Z","confirmations":386,"amount":-0.48408129,"amount_multisig":0},{"tx":"113728d40cf8954c1912f7a5cb42036c3e5e78c966b2f7172f2f9a068f1a31fe","time_utc":"2016-10-29T10:38:35Z","confirmations":541,"amount":0.48408129,"amount_multisig":0},{"tx":"ee8429feb86684ffcd53566ffacb50be720e80ceff5309fcdef3384344439584","time_utc":"2016-10-29T10:36:52Z","confirmations":542,"amount":-0.4844971,"amount_multisig":0},{"tx":"cf1f7243ab0ee6a1f1d8df0640f8bf0aa29988400225692d15d4762f482b1a2c","time_utc":"2016-10-27T10:18:47Z","confirmations":851,"amount":0.4844971,"amount_multisig":0},[/code][/FONT][/COLOR][COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]В настоящее время неизвестно, какова цель этого запроса.[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma]
[/FONT][/COLOR]
[COLOR=#141414][FONT=Tahoma][SPOILER="Источник: Перевод от mike 1"]http://www.bleepingcomputer.com/news/security/cerber-ransomware-4-10-now-shows-the-version-number-in-ransom-notes/[/SPOILER][/FONT][/COLOR]