既活跃又危险的勒索病毒——cerber

2018-12-06   

威胁等级:★★★★
cerber勒索病毒使用aes、rsa和rc4等算法加密用户的文件,病毒加密完成后就会释放一份赎金单, 要求受害者支付 1.24 比特币(约500美元)或更多的赎金。该病毒自2016年3月首次出现,即成为年度最活跃的勒索软件,并且一直在不断的更新, 目前加密后缀有. cerber, cerber2,. cerber3,. af47,. a48f等。

cerber 勒索软件是一种危险的文件加密病毒, 使用 aes、rsa和rc4等算法加密用户的文件。2016年3月首次出现,即成为年度最活跃的勒索软件,该勒索软件一直在不断的更新, 目前加密后缀又. cerber, cerber2,. cerber3,. af47,. a48f等。病毒加密完成后就会释放一份赎金单, 要求受害者支付 1.24 比特币(约500美元)或更多的赎金, 这取决于病毒的版本。此外,该病毒有些版本还有其他功能,如窃取受害者的比特币钱包和其他信息。

病毒 MD5:4ECC82657E4DFE6C2BF4639AEB918D69

病毒攻击视频

查杀病毒视频

拦截病毒视频

通过json文件配置加密选项

如加密后缀,密钥大小,排除的国家、文件路径,强制结束的进程,要加密的类型,勒索赎金条,桌面背景等都是通过配置文件设定:

它不会攻击下列国家:

  • 阿塞拜疆
  • 亚美尼亚
  • 佐治亚州
  • 白俄罗斯
  • 吉尔吉斯斯坦
  • 哈萨克斯坦
  • 摩尔多瓦
  • 土库曼斯坦
  • 塔吉克斯坦
  • 俄罗斯
  • 乌兹别克斯坦
  • 乌克兰

结束以下进程,防止文件占用而导致加密不成功:

  • "excel.exe",
  • "infopath.exe",
  • "msaccess.exe",
  • "mspub.exe",
  • "onenote.exe",
  • "outlook.exe",
  • "powerpnt.exe",
  • "steam.exe",
  • "sqlservr.exe",
  • "thebat.exe",
  • "thebat64.exe",
  • "thunderbird.exe",
  • "visio.exe",
  • "winword.exe",
  • "wordpad.exe"

加密完成后替换桌面背景,告诉受害者文件已经被加密:

感染后桌面背景被替换

文件被加密并更改了后缀,并且在每一个被加密的文件目录下释放html和txt两种格式的勒索赎金:

释放勒索赎金条

打开勒索网页说明,要求下载tor浏览器,输入勒索地址支付解密赎金:

# DECRYPT MY FILES #.html文件内容

防御措施:

  1. 安装杀毒软件,保持防护开启,及时更新病毒库,可以有效拦截已知勒索病毒
  2. 安装勒索防御软件,可以防御已知和未知勒索病毒
  3. 及时更新电脑补丁及软件,确保病毒不会利用已知的漏洞进行攻击
  4. 谨慎点击陌生邮件及文件,从官网下载常用软件
  5. 不使用弱密码,关闭不必要的文件共享

[责任编辑:瑞瑞]