Ransomware Cerber

Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France.
Un petit zoom sur les campagnes de ransomwares.

Web Exploit : par des malvertising

Le ransomware Cerber est très actif, via des malvertising (publicités malicieuses) qui conduisent à des Web Exploit afin d’infecter les ordinateurs.
Plusieurs régies publicitaires sont touchées, celle-ci sont actives notamment sur les sites de streaming illégaux, torrent etc.

Fin mai je suis tombé sur une l’une d’elle qui touche le site d’hébergement Uptobox.
Uptobox est un service d’herbergement très utilisé pour héberger des films de manière illégale.
De ce fait, ce site est très populaire… classé 91 en France.
uptobox_malvertising

Ci-dessous, un exemple de malvertising qui pousse un Web Exploit :

uptobox_malvertising_WebExploit

Le call est d’ailleurs plutôt suspicieux :

uptobox_malvertising_call uptobox_malvertising_call_2

Il s’agit du Magnitude Exploit Kit (PopAds) dont voici les URLs :

Uptobox et call :

http://uptobox.com/xtvc62j2y279
http://aggregatorgetb.com/redirect?[..]
http://aggregatorgetb.com/async?[..]
http://xml.adfclick1.com/click?adv=22082&i=5*CxmnRYbSc_0

malvertising :
http://realitysgames.org/

Web Exploit Kit rotator :
http://bestvapeon.info/?7hd7v7nb2f3u31=24&c7l694ewf8ft3a5=1707&11951e0q3240cje5r=1365

Exploit Kit :
http://b5x0d0vd443a3z7.duediffer.top/
http://7eb5b4v2eb1o60f.duediffer.top/
http://77k07n40s89bzc.duediffer.top/
http://b5x0d0vd443a3z7.duediffer.top/8a9a5552496bfeec098d86a95c4b607a?win%2014,0,0,145

Petite remarque, adfclick1.com ce n’est pas la première fois que j’en parle puisque par le passé, beaucoup de malvertising dessus : http://www.malekal.com/directrev-malvertising-lead-to-zbot/
Seconde remarque, aucune information sur cette régie qui peut être « fausse » et contrôlé par des personnes qui cherchent à avoir du traffic pour charger des malwares.

La détection du Payload  sur VirusTotal :

SHA256:8a312f5575d792b7ccf4308c0e1bfae74dd076b00479d11a76d8342e0d17d905
File name:a.exe
Detection ratio:4 / 55
Analysis date:2016-05-27 21:10:28 UTC ( 5 minutes ago )
AntivirusResultUpdate
BaiduWin32.Trojan.WisdomEyes.151026.9950.999920160527
K7AntiVirusTrojan ( 004efa9d1 )20160527
K7GWTrojan ( 004efa9d1 )20160527
Qihoo-360HEUR/QVM20.1.0000.Malware.Gen20160527

et hop… Le Ransomware Cerber (voir aussi notre dossier sur les ransomwares)uptobox_malvertising_cerber_ransomware

A noter que ce n’est pas la première fois que je parle d’Uptobox :

http://www.malekal.com/uptobox-hacked-spambot/
http://www.malekal.com/en-uptobox-hacked/

EDIT – 10 juin : campagne toujours active…

cerber_ransomware_EK

SHA256:8e7c4a205d390e00edcfcfdbd06c79b20309593341d6b24bc1815f74b4aa05a4
File name:a.exe
Detection ratio:9 / 56
Analysis date:2016-06-10 10:14:08 UTC ( 1 minute ago )
AntivirusResultUpdate
Ad-AwareGen:Variant.Graftor.29027420160610
ArcabitTrojan.Graftor.D46DE220160610
BaiduWin32.Trojan.WisdomEyes.151026.9950.999820160608
BitDefenderGen:Variant.Graftor.29027420160610
EmsisoftGen:Variant.Graftor.290274 (B)20160610
F-SecureGen:Variant.Graftor.29027420160610
GDataGen:Variant.Graftor.29027420160610
McAfee-GW-EditionBehavesLike.Win32.FakeAlertSecurityTool.ch20160610
eScanGen:Variant.Graftor.29027420160610

Le réseau AdsTerra est aussi touché.

AdsTerra_Malvertising

EDIT – 12 Juin – le réseau publicitaire Clickadu est aussi touché.

Directement :

Cerber_EK_Malvertising_clickadu_2

et indirectement :Cerber_EK_Malvertising_clickadu

Les détections VirusTotal au moment où j’ai remonté les fichiers :

SHA256:63c30fc6aea8bf8a3ae295e9cb5f5f4f993efabfff5ea535254b21cb8488b153
File name:fdf05fabbc256fa71b89c332a62a0116ee051afd
Detection ratio:8 / 56
Analysis date:2016-06-11 17:14:09 UTC ( 16 hours, 43 minutes ago ) View latest
AntivirusResultUpdate
AVGGeneric_r.JWG20160611
AVwareTrojan.Win32.Reveton.a (v)20160611
AvastWin32:Malware-gen20160611
BaiduWin32.Trojan.WisdomEyes.151026.9950.999320160608
CyrenW32/Cerber.F.gen!Eldorado20160611
F-ProtW32/Cerber.F.gen!Eldorado20160611
Qihoo-360HEUR/QVM20.1.Malware.Gen20160611
VIPRETrojan.Win32.Reveton.a (v)20160611

et :

SHA256:7752a9cb76ea2b436745004f0d5bc5f0268e11059e1a2c1f608731a8f868cd44
File name:a.exe
Detection ratio:11 / 56
Analysis date:2016-06-12 09:56:25 UTC ( 1 minute ago )
AntivirusResultUpdate
AVwareTrojan.Win32.Reveton.a (v)20160612
BaiduWin32.Trojan.WisdomEyes.151026.9950.998620160612
BitDefenderGen:Variant.Mikey.4990220160612
CyrenW32/Cerber.F.gen!Eldorado20160612
EmsisoftGen:Variant.Mikey.49902 (B)20160612
F-ProtW32/Cerber.F.gen!Eldorado20160612
F-SecureGen:Variant.Mikey.4990220160612
GDataGen:Variant.Mikey.4990220160612
eScanGen:Variant.Mikey.4990220160612
Qihoo-360QVM20.1.Malware.Gen20160612
VIPRETrojan.Win32.Reveton.a (v)20160612

EDIT – 3 Juillet : d’autres régies publicitaires touchées

D’autres régies publicitaires sont aussi touchés et notamment :

https://twitter.com/malekal_morte/status/741681773420109824

https://twitter.com/malekal_morte/status/748127395073368064

cerber_magnitude_EK

SHA256:d6fdda2e1009e8fffa800c38bd682ccaeae69d29fe04964302ab9159139c3b36
File name:cerber.exe
Detection ratio:10 / 51
Analysis date:2016-07-03 11:53:41 UTC ( 12 minutes ago )
AntivirusResultUpdate
AVwareTrojan.Win32.Reveton.a (v)20160703
AhnLab-V3Trojan/Win32.Cerber.R18410920160703
AvastWin32:Evo-gen [Susp]20160703
Avira (no cloud)TR/Crypt.Xpack.vtky20160703
BaiduWin32.Trojan.WisdomEyes.151026.9950.998920160701
CyrenW32/Cerber.E.gen!Eldorado20160703
ESET-NOD32a variant of Win32/Kryptik.EVSW20160703
F-ProtW32/Cerber.E.gen!Eldorado20160703
Qihoo-360QVM20.1.Malware.Gen20160703
VIPRETrojan.Win32.Reveton.a (v)20160703

 

Par des campagnes d’emails malicieux

Quelques campagnes d’emails malicieux, celle-ci sont moins fortes que le ransomware Locky.

Ci-dessous, un exemple de mails où une personne vous partage un fichier par Dropbox.
Le lien du mail conduit vers : https://www.cubbyusercontent.com/pl/Scanned+Documents.zip/_08fa4c28262f424b970037c786caf840

cerber_spam_malicieux

Le zip contient un Trojan.JS.Downloader :

cerber_spam_malicieux_2

Si l’utilisateur ouvre ce dernier, le malware est téléchargé (http://69.24.80.121/Styles/ie7/header.css) et exécuté sur l’ordinateur :

cerber_processus cerber_processus_2

le Ransomware Cerber chiffre les documents et affiche les instructions de paiement.
cerber_main
Rien de vraiment nouveau et tout à fait classique..

Comment se protéger du ransomware Cerber ?

Rendez-vous sur notre dossier des ransomwares et plus précisément le paragraphe qui explique comment s’en protéger : http://www.malekal.com/ransomwares/#Comment_se_propagent_et_se_proteger_des_ransomwares

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 633 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *