Cerber — це сімейство програм-вимагачів, типу шкідливого програмного забезпечення, яке після встановлення на комп’ютері жертви шифрує їхні файли, роблячи їх недоступними. Потім зловмисники вимагають викуп за ключ дешифрування.
Історія програм-вимагачів Cerber
Cerber вперше був помічений у дикій природі в березні 2016 року як сервіс, який продається на російських підпільних форумах. Він швидко набув популярності завдяки своїй моделі «Програми-вимагачі як послуга» (RaaS), яка дозволяє навіть технічно недосвідченим злочинцям здійснювати атаки програм-вимагачів.
Розуміння програми-вимагача Cerber
Cerber працює шляхом проникнення в комп’ютерну систему, як правило, через зловмисне вкладення електронної пошти, завантаження з Інтернету або набір експлойтів. Після виконання Cerber сканує систему на наявність файлів даних і починає процес шифрування за допомогою надійного шифрування AES-256. Файли перейменовуються, а до кожного зашифрованого файлу додається розширення «.cerber» або «.cerber2».
Після завершення шифрування програма-вимагач надсилає повідомлення про викуп, яке часто називається «# DECRYPT MY FILES #.txt» або «.html», яке інформує жертву про шифрування та вимагає платити викуп, зазвичай у біткойнах, за розшифровку. ключ.
Програмне забезпечення-вимагач Cerber: погляд зсередини
Cerber використовує низку технічних стратегій, щоб уникнути виявлення, збільшити кількість заражень і перешкодити аналізу. До них належать:
-
Техніки антианалізу: Cerber використовує кілька методів, щоб перешкодити криміналістичному аналізу, наприклад обфускацію коду та упаковку. Він може визначити, чи працює він у пісочниці чи віртуальній машині, і припинити роботу, щоб уникнути виявлення.
-
Механізми стійкості: Щоб переконатися, що він залишається в зараженій системі, Cerber встановлює постійність, створюючи розділи реєстру, заплановані завдання або використовуючи папки автозавантаження.
-
Мережевий зв'язок: Після зараження Cerber спілкується зі своїми серверами командування та керування (C&C), часто використовуючи алгоритм генерації домену (DGA) для створення нових імен доменів, які важко заблокувати для цих серверів.
Основні характеристики програми-вимагача Cerber
Ось деякі відмінні риси програми-вимагача Cerber:
-
Голосове сповіщення: Cerber відомий своєю незвичайною функцією використання механізму перетворення тексту в мовлення для інформування жертв про те, що їхні файли зашифровано.
-
Модель RaaS: Cerber набув популярності завдяки своїй моделі RaaS, за якою розробники зловмисного програмного забезпечення орендують програмне забезпечення-вимагач іншим злочинцям за частку прибутку.
-
Стійкість: використання DGA для зв’язку C&C і часті оновлення роблять його стійким до контрзаходів.
Варіанти програм-вимагачів Cerber
Cerber еволюціонував з часом, було виявлено кілька варіантів. Ось кілька ключових:
| Варіант | Помітні характеристики |
|---|---|
| Cerber v1 | Початкова версія, запис про викуп під назвою «# DECRYPT MY FILES #.txt» або «.html» |
| Cerber v2 | Введено анти-AV техніки, виправлено помилки |
| Cerber v3 | Незначні модифікації, схожі на v2 |
| Cerber v4 | До зашифрованих файлів додано випадкове розширення із 4 символів |
| Cerber v5 | Підвищена швидкість шифрування, націлювання на великі корпоративні мережі |
| Cerber v6 | Представлено техніку антианалізу, щоб обійти виявлення машинного навчання |
Наслідки програм-вимагачів Cerber та їх пом’якшення
Вплив Cerber може бути серйозним, включаючи фінансові втрати від виплати викупу та зрив бізнесу. Важливо регулярно створювати резервні копії важливих файлів, підтримувати оновлення антивірусного програмного забезпечення та інформувати співробітників про ризики фішингових електронних листів і підозрілих завантажень.
У разі зараження зазвичай не рекомендується платити викуп, оскільки це не гарантує відновлення файлів і сприяє подальшій злочинній діяльності.
Порівняння зі схожими програмами-вимагачами
Ось порівняння Cerber з іншими подібними програмами-вимагачами:
| програми-вимагачі | Спосіб оплати | Алгоритм шифрування | Помітні особливості |
|---|---|---|---|
| Цербер | Bitcoin | AES-256 | RaaS, голосове сповіщення |
| Локі | Bitcoin | RSA-2048 | Змінна сума викупу |
| CryptoLocker | Bitcoin | RSA-2048 | Перша широко поширена програма-вимагач |
| WannaCry | Bitcoin | AES-256, RSA-2048 | Використана вразливість MS17-010 |
Майбутнє програм-вимагачів
Очікується, що програми-вимагачі, такі як Cerber, стануть більш досконалими, використовуючи вдосконалені методи ухилення та стійкості. Прийняття машинного навчання та ШІ як захисниками кібербезпеки, так і зловмисниками, ймовірно, сформує майбутній ландшафт.
Проксі-сервери та програми-вимагачі Cerber
Проксі-сервери можуть опосередковано грати роль в атаках програм-вимагачів. Зловмисники можуть використовувати проксі-сервери, щоб приховати свої справжні IP-адреси, що ускладнює відстеження їхньої діяльності. Однак проксі-сервери також можуть бути частиною захисту. Організації можуть використовувати проксі-сервери для перевірки вхідного трафіку на наявність ознак програм-вимагачів і блокування шкідливого вмісту.
