Cerber — это семейство программ-вымогателей, тип вредоносного программного обеспечения, которое после установки на компьютер жертвы шифрует его файлы, делая их недоступными. Затем злоумышленники требуют выкуп в обмен на ключ дешифрования.
История программы-вымогателя Cerber
Впервые Cerber был замечен в «дикой природе» в марте 2016 года как сервис, продаваемый на российских подпольных форумах. Он быстро приобрел известность благодаря своей модели «Программы-вымогатели как услуга» (RaaS), которая позволяет даже технически неопытным преступникам запускать атаки с использованием программ-вымогателей.
Понимание программы-вымогателя Cerber
Cerber действует путем проникновения в компьютерную систему, обычно через вредоносное вложение в электронное письмо, загрузку через Интернет или набор эксплойтов. После выполнения Cerber сканирует систему на наличие файлов данных и начинает процесс шифрования, используя стойкое шифрование AES-256. Файлы переименовываются, и к каждому зашифрованному файлу добавляется расширение «.cerber» или «.cerber2».
После завершения шифрования программа-вымогатель отправляет записку с требованием выкупа, часто называемую «# DECRYPT MY FILES #.txt» или «.html», которая информирует жертву о шифровании и требует уплаты выкупа, обычно в биткойнах, за расшифровку. ключ.
Программа-вымогатель Cerber: взгляд изнутри
Cerber использует ряд технических стратегий, чтобы избежать обнаружения, максимизировать заражение и помешать анализу. К ним относятся:
-
Методы антианализа: Cerber использует несколько методов, позволяющих помешать судебно-медицинскому анализу, например, запутывание кода и упаковку. Он может определить, работает ли он в песочнице или на виртуальной машине, и завершить работу, чтобы избежать обнаружения.
-
Механизмы сохранения: Чтобы гарантировать, что он останется в зараженной системе, Cerber обеспечивает постоянство, создавая ключи реестра, запланированные задачи или используя папки автозагрузки.
-
Сетевая связь: после заражения Cerber взаимодействует со своими серверами управления и контроля (C&C), часто используя алгоритм генерации домена (DGA) для создания новых, труднозаблокируемых доменных имен для этих серверов.
Ключевые особенности программы-вымогателя Cerber
Вот некоторые отличительные особенности программы-вымогателя Cerber:
-
Голосовое оповещение: Cerber известен своей необычной особенностью использования механизма преобразования текста в речь, чтобы информировать жертв о том, что их файлы зашифрованы.
-
Модель RaaS: Cerber приобрел популярность благодаря своей модели RaaS, согласно которой создатели вредоносного ПО сдают программы-вымогатели в аренду другим преступникам за долю прибыли.
-
Устойчивость: использование DGA для связи с командным центром и частые обновления делают его устойчивым к контрмерам.
Варианты программы-вымогателя Cerber
Cerber со временем развивался, было выявлено несколько вариантов. Вот несколько ключевых из них:
| Вариант | Примечательные характеристики |
|---|---|
| Цербер v1 | Первоначальная версия, записка о выкупе под названием «# РАСШИФРОВАТЬ МОИ ФАЙЛЫ #.txt» или «.html». |
| Цербер v2 | Введены методы защиты от AV, исправлены ошибки. |
| Цербер v3 | Незначительные модификации, аналогичные v2. |
| Цербер v4 | Введено случайное 4-значное расширение для зашифрованных файлов. |
| Цербер v5 | Повышенная скорость шифрования, ориентированная на более крупные корпоративные сети. |
| Цербер v6 | Введена техника антианализа для обхода обнаружения машинного обучения |
Последствия и смягчение последствий программ-вымогателей Cerber
Воздействие Cerber может быть серьезным, включая финансовые потери от выплаты выкупа и сбои в работе бизнеса. Важно регулярно создавать резервные копии важных файлов, обновлять антивирусное программное обеспечение и информировать сотрудников о рисках фишинговых писем и подозрительных загрузок.
В случае заражения обычно рекомендуется не платить выкуп, поскольку это не гарантирует восстановление файлов и поощряет дальнейшую преступную деятельность.
Сравнение с аналогичными программами-вымогателями
Вот сравнение Cerber с другими подобными программами-вымогателями:
| программы-вымогатели | Способ оплаты | Алгоритм шифрования | Примечательные особенности |
|---|---|---|---|
| Цербер | Биткойн | АЭС-256 | RaaS, голосовое оповещение |
| Локки | Биткойн | РСА-2048 | Переменная сумма выкупа |
| КриптоЛоккер | Биткойн | РСА-2048 | Первая широко распространенная программа-вымогатель |
| Хочу плакать | Биткойн | АЕС-256, РСА-2048 | Эксплуатированная уязвимость MS17-010 |
Будущее программ-вымогателей
Ожидается, что программы-вымогатели, такие как Cerber, станут более изощренными, используя передовые методы уклонения и устойчивости. Внедрение машинного обучения и искусственного интеллекта как защитниками кибербезопасности, так и злоумышленниками, вероятно, сформирует будущий ландшафт.
Прокси-серверы и программы-вымогатели Cerber
Прокси-серверы могут косвенно играть роль в атаках программ-вымогателей. Злоумышленники могут использовать прокси-серверы, чтобы скрыть свои настоящие IP-адреса, что затрудняет отслеживание их действий. Однако прокси-серверы также могут быть частью защиты. Организации могут использовать прокси-серверы для проверки входящего трафика на наличие признаков программ-вымогателей и блокировки вредоносного контента.
