Независимые эксперты, а также исследователи Malwarebytes и Bleeping Computer зафиксировали прибавление в стане всевозможных шифровальщиков. Малварь Cerber, созданная русскоговорящими хакерами, шифрует данные жертвы, а затем вслух требует выкуп, используя для этого речевой синтезатор.
Cerber ransomware is offered as a service on a Russian closed forum @malwrhunterteam @BleepinComputer#SenseCy pic.twitter.com/W7Cnpywl6s
— SenseCy (@SenseCyBlog) March 3, 2016
Вымогатели со встроенным чатом уже были, теперь пришло время говорящей малвари. Первыми Cerber заметили эксперты компании SenseCy. Согласно их данным, вымогатель был создан русскоязычными хакерами, а теперь и распространяется как услуга на российских андеграундных форумах. Подобная бизнес-модель в последнее время пользуется большой популярностью у киберпреступников: авторы предоставляют подписку на использование своего вредоноса, который готов к работе «под ключ», а себе берут небольшой процент с полученных выкупов.
Исследователи пишут, что Cerber не заражает пользователей из России и стран СНГ. Подобные региональные ограничения встречаются достаточно часто.
Перед тем как зашифровать файлы жертвы, Cerber хитростью вынуждает ее перезагрузить компьютер, отображая фальшивые ошибки (см. иллюстрации ниже). ПК принудительно загружается в безопасном режиме (Safe Mode with Networking), а затем снова принудительно перегружается уже нормально. После этого свою работу начинает шифровальщик, который шифрует более 380 типов файлов с применением алгоритма AES. Расширение файлов при этом изменяется на .cerber.
Когда данные зашифрованы, вымогатель оставляет во всех директориях текстовые, HTML и VBS-файлы с требованием выкупа. Особенно интересно послание хакеров в VBS-формате – используя преобразование текста в речь, малварь зачитает жертве требования вслух.
Cerber требует от жертв заплатить 1,24 биткоина (около $520), но, согласно некоторым сообщениям, на этой неделе сумма выкупа возросла вдвое. Для оплаты пользователя традиционно просят прейти в даркнет, на сайт в зоне .onion. Взломать шифрование вымогателя по никому не удалось.
Фото: Shutterstock
