Cerber. Mieliśmy już do czynienia z Chimerą, teraz pojawił się Cerber.

Czas czytania: 2 min

Mitologiczny stwór na twoim komputerze?

Autorzy ransomwarów kochają się w mitologicznych stworach. Mieliśmy już do czynienia z Chimerą, teraz pojawił się Cerber. Oba są nazwane na cześć potężnych bestii i oba przygotowano w profesjonalny sposób. Jak stwierdza serwis SenseCy (zajmujący się bezpieczeństwem sieci komputerowych), Cerber jest sprzedawany na undergroundowych, prywatnych forach jako produkt typu RaaS (czyli jako usługę: Ransomware as a Service). Oznacza to, że praktycznie każdy może kupić ransomware i wykorzystać go do swoich niecnych celów.

Cerber szyfruje pliki (dokumenty, grafikę, pliki wideo, audio oraz archiwa i kopie zapasowe danych) za pomocą 256-bitowego algorytmu AES, a następnie zmienia ich rozszerzenia na .cerber. Potrafi też dodatkowo zaszyfrować udziały sieciowe – i to nawet wtedy gdy nie są zamapowane, czyli przypisane do konkretnej litery napędu.

Po zaszyfrowaniu wybranych zasobów ransomware wyświetla na ekranie komputera nazwy trzech plików w postaci komunikatu:

“C E R B E R Your documents, photos, databases and other important files have been encrypted!”

Na dole powiadomienia dodaje cytat w języku łacińskim:

«… Quod me non necat mi fortiorem facit . »
(“Co mnie nie zabije , to mnie wzmocni”).

i dołącza instrukcję jak należy uiścić okup. Są to trzy pliki mające format TXT, HTML i VBS (Visual Basic Scripting).

Trzeci plik VBS jest nietypowy, gdyż zawiera kod zamieniający tekst na mowę. W efekcie w chwili otwarcia tego pliku komputer wygłasza krótkie przemówienie, informując użytkownika, że pliki zostały zaszyfrowane i ich odszyfrowanie będzie nas niestety kosztować. I to sporo, gdyż 1,24 bitcoin’a, czyli według aktualnego kursu ok. 2 tys. zł).

Każda ofiara ma dedykowaną stronę internetową, dostępną za pośrednictwem Tora, którą można dostosować do różnych języków: