Вымогатель Cerber сначала шифрует файлы, а затем заговаривает с жертвой

Независимые эксперты, а также исследователи Malwarebytes и Bleeping Computer зафиксировали прибавление в стане всевозможных шифровальщиков. Малварь Cerber, созданная русскоговорящими хакерами, шифрует данные жертвы, а затем вслух требует выкуп, используя для этого речевой синтезатор.

Вымогатели со встроенным чатом уже были, теперь пришло время говорящей малвари. Первыми Cerber заметили эксперты компании SenseCy. Согласно их данным, вымогатель был создан русскоязычными хакерами, а теперь и распространяется как услуга на российских андеграундных форумах. Подобная бизнес-модель в последнее время пользуется большой популярностью у киберпреступников: авторы предоставляют подписку на использование своего вредоноса, который готов к работе «под ключ», а себе берут небольшой процент с полученных выкупов. Исследователи пишут, что Cerber не заражает пользователей из России и стран СНГ. Подобные региональные ограничения встречаются достаточно часто.

Перед тем как зашифровать файлы жертвы, Cerber хитростью вынуждает ее перезагрузить компьютер, отображая фальшивые ошибки (см. иллюстрации ниже). ПК принудительно загружается в безопасном режиме (Safe Mode with Networking), а затем снова принудительно перегружается уже нормально. После этого свою работу начинает шифровальщик, который шифрует более 380 типов файлов с применением алгоритма AES. Расширение файлов при этом изменяется на .cerber.

Когда данные зашифрованы, вымогатель оставляет во всех директориях текстовые, HTML и VBS-файлы с требованием выкупа. Особенно интересно послание хакеров в VBS-формате – используя преобразование текста в речь, малварь зачитает жертве требования вслух. Cerber требует от жертв заплатить 1,24 биткоина (около $520), но, согласно некоторым сообщениям, на этой неделе сумма выкупа возросла вдвое. Для оплаты пользователя традиционно просят прейти в даркнет, на сайт в зоне .onion. Взломать шифрование вымогателя по никому не удалось.

Взято с xakep.ru