Cerber 是勒索软件家族的一员,是一种恶意软件,一旦安装在受害者的计算机上,就会加密他们的文件,使其无法访问。然后攻击者要求受害者支付赎金以换取解密密钥。
Cerber 勒索软件的历史
Cerber 于 2016 年 3 月首次被发现,当时是俄罗斯地下论坛上出售的一项服务。由于其“勒索软件即服务”(RaaS) 模式,该模式让技术上毫无经验的犯罪分子也能发起勒索软件攻击,因此它很快就声名狼藉。
了解 Cerber 勒索软件
Cerber 的运作方式是入侵计算机系统,通常是通过恶意电子邮件附件、网页下载或漏洞利用工具包。执行后,Cerber 会扫描系统中的数据文件,并使用强大的 AES-256 加密开始加密过程。文件会被重命名,并且每个加密文件都会添加“.cerber”或“.cerber2”扩展名。
加密完成后,勒索软件会留下一封勒索信,通常名为“# DECRYPT MY FILES #.txt”或“.html”,告知受害者有关加密的信息,并要求支付赎金(通常以比特币支付)以获取解密密钥。
Cerber 勒索软件:内部剖析
Cerber 采用多种技术策略来逃避检测、最大化感染并阻止分析。这些包括:
-
反分析技术:Cerber 采用多种技术来阻止取证分析,例如代码混淆和打包。它可以检测自己是否在沙箱或虚拟机中运行,并终止自身以避免被发现。
-
持久性机制:为了确保它保留在受感染的系统中,Cerber 通过创建注册表项、计划任务或使用启动文件夹来建立持久性。
-
网络通讯:感染后,Cerber 与其命令和控制 (C&C) 服务器进行通信,通常使用域生成算法 (DGA) 为这些服务器生成新的、难以阻止的域名。
Cerber 勒索软件的主要功能
以下是 Cerber 勒索软件的一些显著特征:
-
语音警报:Cerber 因其独特的功能而闻名,即使用文本转语音引擎来通知受害者他们的文件已被加密。
-
RaaS模型:Cerber 因其 RaaS 模式而广受欢迎,恶意软件创建者将勒索软件出租给其他犯罪分子以获取部分利润。
-
弹力:它使用 DGA 进行 C&C 通信并频繁更新,这使其具有很强的抵御对策的能力。
Cerber 勒索软件的变种
Cerber 随着时间的推移不断演变,目前已发现多个变种。以下是几个关键变种:
| 变体 | 显著特点 |
|---|---|
| Cerber v1 | 初始版本,赎金票据名为“# DECRYPT MY FILES #.txt”或“.html” |
| Cerber v2 | 引入反 AV 技术,修复错误 |
| Cerber v3 | 细微修改,与 v2 类似 |
| Cerber v4 | 为加密文件引入随机的 4 个字符扩展名 |
| Cerber v5 | 增强加密速度,瞄准更大的企业网络 |
| Cerber v6 | 引入反分析技术来绕过机器学习检测 |
Cerber 勒索软件的影响及缓解措施
Cerber 的影响可能非常严重,包括支付赎金造成的经济损失和业务中断。定期备份重要文件、更新防病毒软件以及教育员工了解网络钓鱼电子邮件和可疑下载的风险非常重要。
如果发生感染,通常建议不要支付赎金,因为这并不能保证文件恢复并会鼓励进一步的犯罪活动。
与类似勒索软件的比较
以下是 Cerber 与其他类似勒索软件的比较:
| 勒索软件 | 付款方式 | 加密演算法 | 显着特点 |
|---|---|---|---|
| 塞伯 | 比特币 | AES-256 | RaaS、语音警报 |
| 洛基 | 比特币 | RSA-2048 | 可变赎金金额 |
| 密码锁 | 比特币 | RSA-2048 | 第一个广泛传播的勒索软件 |
| 想哭 | 比特币 | AES-256,RSA-2048 | 利用 MS17-010 漏洞 |
勒索软件的未来
预计 Cerber 等勒索软件将变得更加复杂,利用先进的规避和持久性技术。网络安全防御者和攻击者对机器学习和人工智能的采用可能会塑造未来的格局。
代理服务器和 Cerber 勒索软件
代理服务器可以间接在勒索软件攻击中发挥作用。攻击者可能会使用代理服务器隐藏其真实 IP 地址,从而使其活动更难追踪。但是,代理服务器也可以成为防御的一部分。组织可以使用代理检查入站流量是否存在勒索软件迹象并阻止恶意内容。
