Этот программный вирус шифрует ваши файлы, а затем зачитывает вам записку с требованием выкупа

Из России с любовью: программный вирус Cerber сначала шифрует ваши файлы, а затем зачитывает записку с требованием выкупа

Авторы вредоносного ПО известны своей изобретательностью, и можно доверять им создать программный вирус, который на самом деле зачитывает записку с требованием выкупа жертве.

Cerber — это последний программный вирус, который шифрует файлы целевой жертвы, а затем предоставляет функцию TTS (текст в речь), которая зачитывает записку с требованием выкупа.

Вредоносное ПО было обнаружено двумя независимыми исследователями безопасности, @BiebsMalwareGuy и @MeegulWorth, и было проанализировано исследователями из Bleeping Computer и Malwarebytes.

Cerber был впервые проанализирован на прошлой неделе исследователями безопасности из SenseCy. Исследователи SenseCy заявили, что Cerber написан российскими программистами, которые рекламируют и продают его как услугу RaaS на подпольных хакерских форумах в России.

Ransomware-as-a-Service (RaaS) — это новая бизнес-модель, которая быстро растет в России. В рамках RaaS авторы вредоносного ПО предоставляют полностью закодированный программный вирус за фиксированную сумму киберпреступникам, которые затем распространяют его через спам и кампании целевой фишинга. Авторы получают небольшую долю только тогда, когда жертва платит выкуп.

Cerber является уникальным программным вирусом во многих отношениях. Одним из качеств Cerber является то, что он избегает стран, говорящих на русском языке. Исследователи сказали, что код Cerber указывает на то, что он был специально создан, чтобы избежать инфекций пользователей, живущих в бывших советских странах.

Еще одной особенностью работы Cerber является тот факт, что перед шифрованием файлов программный вирус показывает сообщение об ошибке, через которое он обманывает пользователя, заставляя его перезагрузить компьютер. Вредоносное ПО заставляет ПК перезагрузиться в «Безопасном режиме с сетью», а затем принудительно перезагружает компьютер снова в обычном режиме.

После этой принудительной перезагрузки Cerber начинает шифровать файлы с помощью алгоритма AES. Вредоносное ПО нацелено на 380 типов файлов, и в процессе шифрования оно перемешивает имена файлов и добавляет расширение .cerber в конце. Как только Cerber берет под контроль ПК жертвы, он добавляет три заметки в текстовом, HTML и VBS формате в каждую папку, где были зашифрованы данные. Когда жертва нажимает на заметку, Cerber зачитывает записку с требованием выкупа пользователю.

Записка с требованием выкупа запрашивает 1.24 биткойна (520 долларов США / 475 евро), сумма, которая удваивается после первой недели. Как обычно, пользователи должны заплатить выкуп в биткойнах через URL в Темной сети (домен .onion).

Cerber в настоящее время не поддается расшифровке.