Криптолокер Cerber Ransomware

cerber001

Пару дней назад, возвращаясь с очередного сбора иллюминатов (где было наконец-то решено, что есть детей от 1 года не западло), я случайно встретился со странным человеком в плаще. Он долго смотрел на меня из темноты. Черная шляпа не давала разглядеть его лицо, и я мог видеть только то, как свет от фонаря отражается в паре зрачков. Я чувствовал, как он сверлит меня взглядом. Когда я уже начал всерьез опасаться за сухость своих штанов, он передал мне пакет, перевязанный бечевкой, и растворился в темноте...

Мне не впервой встречаться с разными злодеями. ООО "Кробер и гомункулы" никогда не пасует перед опасностью. Я быстро добежал до дома, поменял штаны и изучил содержимое пакета. Там был только логин/пасс, линк на криптолокерную партнерку и пакетик спайса больше ничего.

Потными ладошками я набрал адрес в тор-бравзере...

Внутри.

Вход в панель. Легко преодолеваем этот несложный этап.

123

Структура панельки такая:

  • Dashboard
  • Profile
  • Statistics
    • Installs
    • Profit
    • Referrals
    • Xml
  • Payments
  • Files
  • Support
  • FAQ

1) Dashboard:

14586281804312) Profile:

profile3) Statistics > Installs:

1458620794172

4) Statistics > Profit:

1458620855872

5) Statistics > Referrals (рефералы, пассивный доход, все дела):

14586208871046) Statistics > XML:

xml7) Payments:

1458621131520

8) Files (Можно наделать кучу SubID, для работы по разным целям):

files9) Files > Price Settings (можно очень тонко настроить сумму выкупа, в зависимости от того, сколько файлов было закриптовано):

1458621816524

10) Support (мне на тикет ответили в течении дня):

1458621210724

11) FAQ (к слову, вопросов-ответов не так уж и много):

1458621233992

Панель на bootstrap, все удобно, красивенько. Расширенная статистика, рефералы, лендинг с детальнейшим мануалом по оплате выкупа на нескольких языках, выгрузка отчетов по xml, да и за целый месяц работы алгоритм криптолокера так и не был взломан - все это говорит о серьезном подходе. Как говорят овнеры, средний конверт примерно от 0.5% до 3%, что вполне соответствует действительности.

Запуск.

Человек в черной шляпе вновь связался со мной и предложил мини-квест - узнать, куда отстукивает криптолокер. Хотя мой опыт в подобных делах и ограничивался только ловлей пинчей да уфров, но чем черт не шутит (как оказалось в дальнейшем - ничем). Для проверки, я добавил на виртуалку несколько файлов добытых с компа одного кул-хацкера.

На скриншоте содержимое одного файленга, особенно важного:

photo_2016-08-24_11-29-20

Запускаем cerber.exe, ждем некоторое время и...

1458902382902

А это то, что осталось от того самого файла (SuperSecretPasswords.txt):

1458902522794

Я посидел немного в WireShark и увидел только кучу одинаковых UDP запросов на IP-адреса из одной подсети. С достоверностью можно сказать только то, что инфа об установке уходит на один (или несколько) из тысяч IP-адресов. Это как искать иголку в стоге сена. Получается, надо мной просто издевались, когда предложили узнать куда отстукивает локер.

Можно конечно списать все на мою неопытность, но настоящие ресерчеры пришли к таким же выводам (http://blog.malwarebytes.org/intelligence/2016/03/cerber-ransomware-new-but-mature/) - практически нереально понять куда отправляет инфу локер.

Файлы шифруются очень быстро, и вдобавок все теневые копии (на Win 7, 8, 8.1 без предупреждения UAC) удаляются (естественно, что сей факт благоприятно влияет на конверт):

  1. Шифрование 10к файлов по 3кб за 40 секунд
  2. Шифрование 10к картинок общим весом в 14гб за 3 мин 20 сек

Одним словом - сатанинское творение, не иначе.

Ковыряния.

Поменяв еще одну пару штанишек, я решил поподставлять кавычки и скобочки. Правда, сначала пришлось поколдовать с бурп-сьютом.

Проковыряв примерно 2 дня, к сожалению, я ничего толком не нашел. Файл robots.txt, нескольких артефактов вроде log.txt и 3 простеньких CSRF. Одна позволяла сменить jabber, вторая - удалить биткоин кошелек для выплат, третья - сменить кошелек для выплат (сталобыть самая профитная):

Мало того, что это CSRF, так еще и жертва должна перейти по ссылке через тор-браузер. В общем, это было бы довольно сложно эксплуатировать (а сейчас уже все пофиксили).

Конечно, тот факт, что я практически ничего не нашел, не исключает того, что какие-то уязвимости есть. Следует учитывать, что мой профессиональный и интеллектуальный уровень оставляет желать лучшего - например, однажды я решил покормить батон белого хлеба вискасом.

Fin.

Если у вас появилось жгучее желание плотно поработать с этим криптолокером, то гореть вам в аду)))