이 랜섬웨어는 파일을 암호화한 후 몸값 노트를 읽어줍니다

러시아에서 온 사랑 : Cerber 랜섬웨어는 먼저 파일을 암호화한 후 몸값 노트를 읽어줍니다

악성코드 작성자들은 기발한 집단으로 알려져 있으며, 희생자에게 몸값 노트를 실제로 읽어주는 랜섬웨어를 만들어낼 것이라고 믿습니다.

Cerber는 목표 희생자의 파일을 암호화한 후 몸값 노트를 읽어주는 TTS(텍스트 음성 변환) 기능을 제공하는 최신 랜섬웨어입니다.

이 랜섬웨어는 두 명의 독립적인 보안 연구자 @BiebsMalwareGuy와 @MeegulWorth에 의해 발견되었으며, Bleeping Computer와 Malwarebytes의 연구자들에 의해 분석되었습니다.

Cerber는 지난주 SenseCy의 보안 연구자들에 의해 처음 분석되었습니다. SenseCy 연구자들은 Cerber가 러시아 코더들에 의해 작성되었으며, 러시아의 지하 해킹 포럼에서 RaaS 서비스로 광고되고 판매되고 있다고 밝혔습니다.

랜섬웨어-서비스(RaaS)는 러시아에서 빠르게 성장하고 있는 새로운 비즈니스 모델입니다. RaaS 하에, 악성코드 작성자들은 고정 금액으로 완전히 코딩된 랜섬웨어를 사이버 범죄자들에게 제공하며, 이들은 이를 스팸 및 스피어 피싱 캠페인을 통해 배포합니다. 저자들은 희생자가 몸값을 지불할 때만 소액의 수수료를 받습니다.

Cerber는 여러 면에서 독특한 랜섬웨어입니다. Cerber의 특성 중 하나는 러시아어를 사용하는 국가를 피한다는 것입니다. 연구자들은 Cerber의 코드가 구소련 국가에 거주하는 사용자들의 감염을 피하기 위해 특별히 구축되었다고 말했습니다.

Cerber의 작동 방식에서 또 다른 특징은 파일을 암호화하기 전에 랜섬웨어가 오류 프롬프트를 표시하여 사용자를 속여 컴퓨터를 재시작하게 만든다는 것입니다. 랜섬웨어는 PC를 “네트워킹이 포함된 안전 모드”로 재시작한 후 다시 정상 모드로 강제로 재시작합니다.

이 강제 재시작 후, Cerber는 AES 알고리즘을 사용하여 파일을 암호화하기 시작합니다. 랜섬웨어는 380개의 파일 유형을 대상으로 하며, 암호화 과정에서 파일 이름을 혼합하고 끝에 .cerber 확장자를 추가합니다. Cerber가 희생자의 PC를 장악하면 암호화된 데이터가 있는 각 폴더에 텍스트, HTML 및 VBS 형식의 세 개의 노트를 추가합니다. 희생자가 노트를 클릭하면 Cerber가 사용자에게 몸값 노트를 낭독합니다.

몸값 노트는 1.24 비트코인($520 / €475)을 요구하며, 이는 첫 주가 지나면 두 배로 증가합니다. 일반적으로 사용자는 다크 웹 URL(.onion 도메인)을 통해 비트코인으로 몸값을 지불해야 합니다.

현재 Cerber는 복호화할 수 없습니다.