Este Ransomware criptografa seus arquivos e depois lê a nota de resgate

Da Rússia com Amor: O Ransomware Cerber primeiro criptografa seus arquivos e depois lê a nota de resgate

Os autores de malware são conhecidos por serem um grupo engenhoso e confie neles para criar um Ransomware que realmente lê a nota de resgate para a vítima.

Cerber é um ransomware mais recente que criptografa os arquivos da vítima alvo e depois fornece um recurso TTS (texto-para-fala) que lê a nota de resgate.

O ransomware foi descoberto por dois pesquisadores de segurança independentes, @BiebsMalwareGuy e @MeegulWorth, e foi analisado por pesquisadores da Bleeping Computer e Malwarebytes.

O Cerber foi analisado pela primeira vez na semana passada por pesquisadores de segurança da SenseCy. Os pesquisadores da SenseCy afirmaram que o Cerber é escrito por codificadores russos que o estão anunciando e vendendo como um serviço RaaS em fóruns de hacking subterrâneos na Rússia.

Ransomware-as-a-Service (RaaS) é um novo modelo de negócios que está crescendo rapidamente na Rússia. Sob o RaaS, os codificadores de malware fornecem um Ransomware totalmente codificado por um valor fixo a criminosos cibernéticos que o distribuem por meio de campanhas de spam e spear-phishing. Os autores recebem uma pequena porcentagem apenas quando a vítima paga o resgate.

Cerber é um Ransomware único em muitos aspectos. Uma das qualidades do Cerber é que ele evita países de língua russa. Os pesquisadores disseram que o código do Cerber indica que ele foi especificamente construído para evitar infecções de usuários que vivem em países da ex-União Soviética.

Outra peculiaridade nas operações do Cerber é o fato de que, antes de criptografar arquivos, o ransomware exibe um prompt de erro pelo qual engana o usuário para reiniciar o computador. O ransomware faz o PC reiniciar em “Modo Seguro com Rede” e depois reinicia forçosamente o computador novamente em modo normal.

Após essa reinicialização forçada, o Cerber começa a criptografar arquivos com um algoritmo AES. O ransomware mira 380 tipos de arquivos e, durante o processo de criptografia, embaralha o nome dos arquivos e adiciona a extensão .cerber no final. Assim que o Cerber assume o controle do PC da vítima, ele adiciona três notas em formato de texto, HTML e VBS em cada uma das pastas onde criptografou dados. Quando a vítima clica na nota, o Cerber recitará a nota de resgate para o usuário.

A nota de resgate pede 1,24 Bitcoin ($520 / €475), uma quantia que dobra após a primeira semana. Como de costume, os usuários precisam pagar o resgate em Bitcoin através de uma URL da Dark Web (domínio .onion).

Cerber é indecriptível até agora.