既活跃又危险的勒索病毒——cerber
2018-12-06
威胁等级:★★★★
cerber勒索病毒使用aes、rsa和rc4等算法加密用户的文件,病毒加密完成后就会释放一份赎金单, 要求受害者支付 1.24 比特币(约500美元)或更多的赎金。该病毒自2016年3月首次出现,即成为年度最活跃的勒索软件,并且一直在不断的更新, 目前加密后缀有. cerber, cerber2,. cerber3,. af47,. a48f等。
cerber 勒索软件是一种危险的文件加密病毒, 使用 aes、rsa和rc4等算法加密用户的文件。2016年3月首次出现,即成为年度最活跃的勒索软件,该勒索软件一直在不断的更新, 目前加密后缀又. cerber, cerber2,. cerber3,. af47,. a48f等。病毒加密完成后就会释放一份赎金单, 要求受害者支付 1.24 比特币(约500美元)或更多的赎金, 这取决于病毒的版本。此外,该病毒有些版本还有其他功能,如窃取受害者的比特币钱包和其他信息。
病毒 MD5:4ECC82657E4DFE6C2BF4639AEB918D69
病毒攻击视频
查杀病毒视频
拦截病毒视频
通过json文件配置加密选项
如加密后缀,密钥大小,排除的国家、文件路径,强制结束的进程,要加密的类型,勒索赎金条,桌面背景等都是通过配置文件设定:
它不会攻击下列国家:
- 阿塞拜疆
- 亚美尼亚
- 佐治亚州
- 白俄罗斯
- 吉尔吉斯斯坦
- 哈萨克斯坦
- 摩尔多瓦
- 土库曼斯坦
- 塔吉克斯坦
- 俄罗斯
- 乌兹别克斯坦
- 乌克兰
结束以下进程,防止文件占用而导致加密不成功:
- "excel.exe",
- "infopath.exe",
- "msaccess.exe",
- "mspub.exe",
- "onenote.exe",
- "outlook.exe",
- "powerpnt.exe",
- "steam.exe",
- "sqlservr.exe",
- "thebat.exe",
- "thebat64.exe",
- "thunderbird.exe",
- "visio.exe",
- "winword.exe",
- "wordpad.exe"
加密完成后替换桌面背景,告诉受害者文件已经被加密:
感染后桌面背景被替换
文件被加密并更改了后缀,并且在每一个被加密的文件目录下释放html和txt两种格式的勒索赎金:
释放勒索赎金条
打开勒索网页说明,要求下载tor浏览器,输入勒索地址支付解密赎金:
# DECRYPT MY FILES #.html文件内容
防御措施:
- 安装杀毒软件,保持防护开启,及时更新病毒库,可以有效拦截已知勒索病毒
- 安装勒索防御软件,可以防御已知和未知勒索病毒
- 及时更新电脑补丁及软件,确保病毒不会利用已知的漏洞进行攻击
- 谨慎点击陌生邮件及文件,从官网下载常用软件
- 不使用弱密码,关闭不必要的文件共享
编辑:瑞瑞 阅读: