Ransomware Cerber

Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France.
Un petit zoom sur les campagnes de ransomwares.

Je rappelle qu’il existe des pages génériques sur ce que sont les ransomwares :

Web Exploit : par des malvertising

Le ransomware Cerber est très actif, via des malvertising (publicités malicieuses) qui conduisent à des Web Exploit afin d’infecter les ordinateurs.
Plusieurs régies publicitaires sont touchées, celle-ci sont actives notamment sur les sites de streaming illégaux, torrent etc.

Fin mai je suis tombé sur une l’une d’elle qui touche le site d’hébergement Uptobox.
Uptobox est un service d’herbergement très utilisé pour héberger des films de manière illégale.
De ce fait, ce site est très populaire… classé 91 en France.
uptobox_malvertising

Ci-dessous, un exemple de malvertising qui pousse un Web Exploit :

uptobox_malvertising_WebExploit

Le call est d’ailleurs plutôt suspicieux :

uptobox_malvertising_call uptobox_malvertising_call_2

Il s’agit du Magnitude Exploit Kit (PopAds) dont voici les URLs :

Uptobox et call :

http://uptobox.com/xtvc62j2y279
http://aggregatorgetb.com/redirect?[..]
http://aggregatorgetb.com/async?[..]
http://xml.adfclick1.com/click?adv=22082&i=5*CxmnRYbSc_0

malvertising :
http://realitysgames.org/

Web Exploit Kit rotator :
http://bestvapeon.info/?7hd7v7nb2f3u31=24&c7l694ewf8ft3a5=1707&11951e0q3240cje5r=1365

Exploit Kit :
http://b5x0d0vd443a3z7.duediffer.top/
http://7eb5b4v2eb1o60f.duediffer.top/
http://77k07n40s89bzc.duediffer.top/
http://b5x0d0vd443a3z7.duediffer.top/8a9a5552496bfeec098d86a95c4b607a?win%2014,0,0,145

Petite remarque, adfclick1.com ce n’est pas la première fois que j’en parle puisque par le passé, beaucoup de malvertising dessus : https://www.malekal.com/directrev-malvertising-lead-to-zbot/
Seconde remarque, aucune information sur cette régie qui peut être “fausse” et contrôlé par des personnes qui cherchent à avoir du traffic pour charger des malwares.

La détection du Payload  sur VirusTotal :

SHA256: 8a312f5575d792b7ccf4308c0e1bfae74dd076b00479d11a76d8342e0d17d905
File name: a.exe
Detection ratio: 4 / 55
Analysis date: 2016-05-27 21:10:28 UTC ( 5 minutes ago )
Antivirus Result Update
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160527
K7AntiVirus Trojan ( 004efa9d1 ) 20160527
K7GW Trojan ( 004efa9d1 ) 20160527
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20160527

et hop… Le Ransomware Cerber (voir aussi notre dossier sur les ransomwares)uptobox_malvertising_cerber_ransomware

A noter que ce n’est pas la première fois que je parle d’Uptobox :

https://www.malekal.com/uptobox-hacked-spambot/
https://www.malekal.com/en-uptobox-hacked/

EDIT – 10 juin 2016 : campagne toujours active…

cerber_ransomware_EK

SHA256: 8e7c4a205d390e00edcfcfdbd06c79b20309593341d6b24bc1815f74b4aa05a4
File name: a.exe
Detection ratio: 9 / 56
Analysis date: 2016-06-10 10:14:08 UTC ( 1 minute ago )
Antivirus Result Update
Ad-Aware Gen:Variant.Graftor.290274 20160610
Arcabit Trojan.Graftor.D46DE2 20160610
Baidu Win32.Trojan.WisdomEyes.151026.9950.9998 20160608
BitDefender Gen:Variant.Graftor.290274 20160610
Emsisoft Gen:Variant.Graftor.290274 (B) 20160610
F-Secure Gen:Variant.Graftor.290274 20160610
GData Gen:Variant.Graftor.290274 20160610
McAfee-GW-Edition BehavesLike.Win32.FakeAlertSecurityTool.ch 20160610
eScan Gen:Variant.Graftor.290274 20160610

Le réseau AdsTerra est aussi touché.

AdsTerra_Malvertising

EDIT – 12 Juin 2016 : le réseau publicitaire Clickadu est aussi touché.

Directement :

Cerber_EK_Malvertising_clickadu_2

et indirectement :Cerber_EK_Malvertising_clickadu

Les détections VirusTotal au moment où j’ai remonté les fichiers :

SHA256: 63c30fc6aea8bf8a3ae295e9cb5f5f4f993efabfff5ea535254b21cb8488b153
File name: fdf05fabbc256fa71b89c332a62a0116ee051afd
Detection ratio: 8 / 56
Analysis date: 2016-06-11 17:14:09 UTC ( 16 hours, 43 minutes ago ) View latest
Antivirus Result Update
AVG Generic_r.JWG 20160611
AVware Trojan.Win32.Reveton.a (v) 20160611
Avast Win32:Malware-gen 20160611
Baidu Win32.Trojan.WisdomEyes.151026.9950.9993 20160608
Cyren W32/Cerber.F.gen!Eldorado 20160611
F-Prot W32/Cerber.F.gen!Eldorado 20160611
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160611
VIPRE Trojan.Win32.Reveton.a (v) 20160611

et :

SHA256: 7752a9cb76ea2b436745004f0d5bc5f0268e11059e1a2c1f608731a8f868cd44
File name: a.exe
Detection ratio: 11 / 56
Analysis date: 2016-06-12 09:56:25 UTC ( 1 minute ago )
Antivirus Result Update
AVware Trojan.Win32.Reveton.a (v) 20160612
Baidu Win32.Trojan.WisdomEyes.151026.9950.9986 20160612
BitDefender Gen:Variant.Mikey.49902 20160612
Cyren W32/Cerber.F.gen!Eldorado 20160612
Emsisoft Gen:Variant.Mikey.49902 (B) 20160612
F-Prot W32/Cerber.F.gen!Eldorado 20160612
F-Secure Gen:Variant.Mikey.49902 20160612
GData Gen:Variant.Mikey.49902 20160612
eScan Gen:Variant.Mikey.49902 20160612
Qihoo-360 QVM20.1.Malware.Gen 20160612
VIPRE Trojan.Win32.Reveton.a (v) 20160612

EDIT – 3 Juillet : d’autres régies publicitaires touchées

D’autres régies publicitaires sont aussi touchés et notamment :

https://twitter.com/malekal_morte/status/741681773420109824

https://twitter.com/malekal_morte/status/748127395073368064

cerber_magnitude_EK

SHA256: d6fdda2e1009e8fffa800c38bd682ccaeae69d29fe04964302ab9159139c3b36
File name: cerber.exe
Detection ratio: 10 / 51
Analysis date: 2016-07-03 11:53:41 UTC ( 12 minutes ago )
Antivirus Result Update
AVware Trojan.Win32.Reveton.a (v) 20160703
AhnLab-V3 Trojan/Win32.Cerber.R184109 20160703
Avast Win32:Evo-gen [Susp] 20160703
Avira (no cloud) TR/Crypt.Xpack.vtky 20160703
Baidu Win32.Trojan.WisdomEyes.151026.9950.9989 20160701
Cyren W32/Cerber.E.gen!Eldorado 20160703
ESET-NOD32 a variant of Win32/Kryptik.EVSW 20160703
F-Prot W32/Cerber.E.gen!Eldorado 20160703
Qihoo-360 QVM20.1.Malware.Gen 20160703
VIPRE Trojan.Win32.Reveton.a (v) 20160703

Par des campagnes d’emails malicieux

Quelques campagnes d’emails malicieux, celle-ci sont moins fortes que le ransomware Locky.

Ci-dessous, un exemple de mails où une personne vous partage un fichier par Dropbox.
Le lien du mail conduit vers : https://www.cubbyusercontent.com/pl/Scanned+Documents.zip/_08fa4c28262f424b970037c786caf840

cerber_spam_malicieux

Le zip contient un Trojan.JS.Downloader :

cerber_spam_malicieux_2

Si l’utilisateur ouvre ce dernier, le malware est téléchargé (http://69.24.80.121/Styles/ie7/header.css) et exécuté sur l’ordinateur :

cerber_processuscerber_processus_2

le Ransomware Cerber chiffre les documents et affiche les instructions de paiement.
cerber_main
Rien de vraiment nouveau et tout à fait classique..

EDIT – 28 mars 2017 : le ransomware Cerber toujours actif

Le ransomware Cerber est toujours actif, alors que le Ransomware est Locky en baisse en ce début 2017.

bataille des Ransomwares

Pour s’installer dans Windows, le ransomware Cerber utilise plusieurs mécanismes comme wscript.exe, rundll.exe ou regsvr32.exe

Cela peut rendre les firewall gratuits inopérants comme la montre la vidéo suivante :

Comment se protéger du ransomware Cerber ?

Rendez-vous sur notre dossier des ransomwares et plus précisément le paragraphe qui explique comment s’en protéger : https://www.malekal.com/ransomwares/#Comment_se_propagent_et_se_proteger_des_ransomwares

(Visité 1 265 fois, 6 visites ce jour)

Vous pouvez aussi lire...