安天发布《Cerber勒索软件家族分析报告》

时间 :  2017年04月24日  来源:  安天


近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,勒索软件Cerber的变种不断地更新,该家族也变得更加活跃。该勒索软件目前已经将大版本号更新到6,令人惊讶的是,从第一个版本到现在的版本6,一共也只用了一年左右的时间。

自2016年开始,采用了勒索软件即服务(Ransomware-as-a-Service)模式,名为Cerber的勒索软件开始爆发。攻击者在2016年下半年开始了频率极高的版本升级,仅在8月份就发现了Cerber2和Cerber3两个版本,而在10月及11月,Cerber4和Cerber5相继推出,而进入2017年,Cerber6面世。

勒索软件即服务(RaaS)是一整套体系,指从勒索到解锁的服务。勒索软件作者开发出恶意代码,通过在暗网中出售、出租或其他的方式提供给有需求的攻击者作为下线,下线实施攻击并获取部分分成,原始开发者获得大部分利益,在只承担最小风险的前提下扩大了犯罪规模。而采用这种服务模式的勒索软件越来越多地将目标放在了企业上,对于很多企业来说,不希望失去重要的数据资料,更愿意去支付赎金。

Cerber家族样本有多种传播方式,主要通过垃圾邮件和漏洞利用工具Rig-V Exploit EK传播,自Cerber4开始,它不再使用Cerber作为加密文件的后缀,而是使用4个随机字符。如同Locky一样,它也拥有本地化的功能,它会根据系统语言来显示不同的勒索警告文字。Cerber采用RSA2048加密文件,拥有文件夹及语言地区的黑名单,在黑名单中的文件夹及语言地区均不能加密。样本加密的文件类型逐渐增加,现在已经从最初的几十种增加到数百种。在版本的演进中,Cerber增加了结束常见数据库进程、判断本机时间等特性。

安天CERT建议个人用户,若不慎感染勒索软件,且没有做好数据备份,则可根据勒索软件特性,如勒索界面、加密文件名特征等在网络中查找是否有相应解密工具或寻求专业人士帮助。目前,安天追影产品已经实现了对Cerber家族样本的检出。