Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France.
Un petit zoom sur les campagnes de ransomwares.
Je rappelle qu’il existe des pages génériques sur ce que sont les ransomwares :
Table des matières
Web Exploit : par des malvertising
Le ransomware Cerber est très actif, via des malvertising (publicités malicieuses) qui conduisent à des Web Exploit afin d’infecter les ordinateurs.
Plusieurs régies publicitaires sont touchées, celle-ci sont actives notamment sur les sites de streaming illégaux, torrent etc.
Fin mai je suis tombé sur une l’une d’elle qui touche le site d’hébergement Uptobox.
Uptobox est un service d’herbergement très utilisé pour héberger des films de manière illégale.
De ce fait, ce site est très populaire… classé 91 en France.
Ci-dessous, un exemple de malvertising qui pousse un Web Exploit :
Le call est d’ailleurs plutôt suspicieux :
Il s’agit du Magnitude Exploit Kit (PopAds) dont voici les URLs :
Uptobox et call :
http://uptobox.com/xtvc62j2y279
http://aggregatorgetb.com/redirect?[..]
http://aggregatorgetb.com/async?[..]
http://xml.adfclick1.com/click?adv=22082&i=5*CxmnRYbSc_0
malvertising :
http://realitysgames.org/
Web Exploit Kit rotator :
http://bestvapeon.info/?7hd7v7nb2f3u31=24&c7l694ewf8ft3a5=1707&11951e0q3240cje5r=1365
Exploit Kit :
http://b5x0d0vd443a3z7.duediffer.top/
http://7eb5b4v2eb1o60f.duediffer.top/
http://77k07n40s89bzc.duediffer.top/
http://b5x0d0vd443a3z7.duediffer.top/8a9a5552496bfeec098d86a95c4b607a?win%2014,0,0,145
Petite remarque, adfclick1.com ce n’est pas la première fois que j’en parle puisque par le passé, beaucoup de malvertising dessus : https://www.malekal.com/directrev-malvertising-lead-to-zbot/
Seconde remarque, aucune information sur cette régie qui peut être “fausse” et contrôlé par des personnes qui cherchent à avoir du traffic pour charger des malwares.
La détection du Payload sur VirusTotal :
SHA256: | 8a312f5575d792b7ccf4308c0e1bfae74dd076b00479d11a76d8342e0d17d905 |
File name: | a.exe |
Detection ratio: | 4 / 55 |
Analysis date: | 2016-05-27 21:10:28 UTC ( 5 minutes ago ) |
Antivirus | Result | Update |
---|---|---|
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9999 | 20160527 |
K7AntiVirus | Trojan ( 004efa9d1 ) | 20160527 |
K7GW | Trojan ( 004efa9d1 ) | 20160527 |
Qihoo-360 | HEUR/QVM20.1.0000.Malware.Gen | 20160527 |
et hop… Le Ransomware Cerber (voir aussi notre dossier sur les ransomwares)
A noter que ce n’est pas la première fois que je parle d’Uptobox :
https://www.malekal.com/uptobox-hacked-spambot/
https://www.malekal.com/en-uptobox-hacked/
EDIT – 10 juin 2016 : campagne toujours active…
SHA256: | 8e7c4a205d390e00edcfcfdbd06c79b20309593341d6b24bc1815f74b4aa05a4 |
File name: | a.exe |
Detection ratio: | 9 / 56 |
Analysis date: | 2016-06-10 10:14:08 UTC ( 1 minute ago ) |
Antivirus | Result | Update |
---|---|---|
Ad-Aware | Gen:Variant.Graftor.290274 | 20160610 |
Arcabit | Trojan.Graftor.D46DE2 | 20160610 |
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9998 | 20160608 |
BitDefender | Gen:Variant.Graftor.290274 | 20160610 |
Emsisoft | Gen:Variant.Graftor.290274 (B) | 20160610 |
F-Secure | Gen:Variant.Graftor.290274 | 20160610 |
GData | Gen:Variant.Graftor.290274 | 20160610 |
McAfee-GW-Edition | BehavesLike.Win32.FakeAlertSecurityTool.ch | 20160610 |
eScan | Gen:Variant.Graftor.290274 | 20160610 |
Le réseau AdsTerra est aussi touché.
EDIT – 12 Juin 2016 : le réseau publicitaire Clickadu est aussi touché.
Directement :
Les détections VirusTotal au moment où j’ai remonté les fichiers :
SHA256: | 63c30fc6aea8bf8a3ae295e9cb5f5f4f993efabfff5ea535254b21cb8488b153 |
File name: | fdf05fabbc256fa71b89c332a62a0116ee051afd |
Detection ratio: | 8 / 56 |
Analysis date: | 2016-06-11 17:14:09 UTC ( 16 hours, 43 minutes ago ) View latest |
Antivirus | Result | Update |
---|---|---|
AVG | Generic_r.JWG | 20160611 |
AVware | Trojan.Win32.Reveton.a (v) | 20160611 |
Avast | Win32:Malware-gen | 20160611 |
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9993 | 20160608 |
Cyren | W32/Cerber.F.gen!Eldorado | 20160611 |
F-Prot | W32/Cerber.F.gen!Eldorado | 20160611 |
Qihoo-360 | HEUR/QVM20.1.Malware.Gen | 20160611 |
VIPRE | Trojan.Win32.Reveton.a (v) | 20160611 |
et :
SHA256: | 7752a9cb76ea2b436745004f0d5bc5f0268e11059e1a2c1f608731a8f868cd44 |
File name: | a.exe |
Detection ratio: | 11 / 56 |
Analysis date: | 2016-06-12 09:56:25 UTC ( 1 minute ago ) |
Antivirus | Result | Update |
---|---|---|
AVware | Trojan.Win32.Reveton.a (v) | 20160612 |
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9986 | 20160612 |
BitDefender | Gen:Variant.Mikey.49902 | 20160612 |
Cyren | W32/Cerber.F.gen!Eldorado | 20160612 |
Emsisoft | Gen:Variant.Mikey.49902 (B) | 20160612 |
F-Prot | W32/Cerber.F.gen!Eldorado | 20160612 |
F-Secure | Gen:Variant.Mikey.49902 | 20160612 |
GData | Gen:Variant.Mikey.49902 | 20160612 |
eScan | Gen:Variant.Mikey.49902 | 20160612 |
Qihoo-360 | QVM20.1.Malware.Gen | 20160612 |
VIPRE | Trojan.Win32.Reveton.a (v) | 20160612 |
EDIT – 3 Juillet : d’autres régies publicitaires touchées
D’autres régies publicitaires sont aussi touchés et notamment :
https://twitter.com/malekal_morte/status/741681773420109824
https://twitter.com/malekal_morte/status/748127395073368064
SHA256: | d6fdda2e1009e8fffa800c38bd682ccaeae69d29fe04964302ab9159139c3b36 |
File name: | cerber.exe |
Detection ratio: | 10 / 51 |
Analysis date: | 2016-07-03 11:53:41 UTC ( 12 minutes ago ) |
Antivirus | Result | Update |
---|---|---|
AVware | Trojan.Win32.Reveton.a (v) | 20160703 |
AhnLab-V3 | Trojan/Win32.Cerber.R184109 | 20160703 |
Avast | Win32:Evo-gen [Susp] | 20160703 |
Avira (no cloud) | TR/Crypt.Xpack.vtky | 20160703 |
Baidu | Win32.Trojan.WisdomEyes.151026.9950.9989 | 20160701 |
Cyren | W32/Cerber.E.gen!Eldorado | 20160703 |
ESET-NOD32 | a variant of Win32/Kryptik.EVSW | 20160703 |
F-Prot | W32/Cerber.E.gen!Eldorado | 20160703 |
Qihoo-360 | QVM20.1.Malware.Gen | 20160703 |
VIPRE | Trojan.Win32.Reveton.a (v) | 20160703 |
Par des campagnes d’emails malicieux
Quelques campagnes d’emails malicieux, celle-ci sont moins fortes que le ransomware Locky.
Ci-dessous, un exemple de mails où une personne vous partage un fichier par Dropbox.
Le lien du mail conduit vers : https://www.cubbyusercontent.com/pl/Scanned+Documents.zip/_08fa4c28262f424b970037c786caf840
Le zip contient un Trojan.JS.Downloader :
Si l’utilisateur ouvre ce dernier, le malware est téléchargé (http://69.24.80.121/Styles/ie7/header.css) et exécuté sur l’ordinateur :
le Ransomware Cerber chiffre les documents et affiche les instructions de paiement.
Rien de vraiment nouveau et tout à fait classique..
EDIT – 28 mars 2017 : le ransomware Cerber toujours actif
Le ransomware Cerber est toujours actif, alors que le Ransomware est Locky en baisse en ce début 2017.
Pour s’installer dans Windows, le ransomware Cerber utilise plusieurs mécanismes comme wscript.exe, rundll.exe ou regsvr32.exe
Cela peut rendre les firewall gratuits inopérants comme la montre la vidéo suivante :
Comment se protéger du ransomware Cerber ?
Rendez-vous sur notre dossier des ransomwares et plus précisément le paragraphe qui explique comment s’en protéger : https://www.malekal.com/ransomwares-rancongiciels-definition-comment-en-proteger/#Comment_se_propagent_et_se_proteger_des_ransomwares