【概要】
- 発見時期
- 2016年3月に初めてロシアのアンダーグラウンド市場で確認
- 現在のバージョン
- CERBER 6
- 最新機能
- サンドボックスやセキュリティ対策ソフトを回避する機能
- 暗号化しないファイルをチェックする機能(検出を遅らせる)
- Windowsファイアウォールのルールを追加する機能(検出を回避)
- 感染手法
- 感染PCへファイルがダウンロードされて実行される手法
- スケジュールタスクを作成して2分後に実行される手法
- Windows PowerShell Scriptが組み込まれてコマンドが実行される手法
【ニュース】
■2016年
◆三つ首の魔犬「ケルベロス」の名を冠したコンピューターウイルス (Internet.com, 2016/06/09 11:40)
「ケルベロス」の名を冠したコンピューターウイルス「Cerber」について、セキュリティ企業のKaspersky(カスペルスキー)がブログを書いている
http://internetcom.jp/201084/cerber-becomes-multipurpose-malware
◆ランサムウェア構成ファイルが更新!? Cerberの暗号化手法に変化が (ascii.JP, 2016/08/26 13:39)
http://ascii.jp/elem/000/001/218/1218377/
◆Cerber 3.0 Ransomware Variant Emerges (SecurityWeek, 2016/09/04)
http://www.securityweek.com/cerber-30-ransomware-variant-emerges
◆Cerber 4.1.0 and 4.1.1: The Evolution Continues (The State of Security, 2016/11/01)
https://www.tripwire.com/state-of-security/featured/cerber-4-1-0-4-1-1-evolution-continues/
◆ランサムウェア 「ケルベル (Cerber)」 (Ahnlab, 2016/11/16)
http://mjp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do?seq=2314&curPage=
■2017年
◆ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ (ZDNet, 2017/03/29 13:22)
https://japan.zdnet.com/article/35098898/
◆Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用 (ITmedia, 2017/04/07 08:25)
1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという
http://www.itmedia.co.jp/enterprise/articles/1704/07/news051.html
◆ランサムウェア「Cerber」がまた凶悪化--Bitcoinウォレットも狙う (CNet, 2017/08/07 10:10)
https://japan.cnet.com/article/35105381/
◆Cerber ransomware using Magnitude EK and binary padding (SCmedia, 2017/08/10)
https://www.scmagazine.com/cerber-spotted-using-magnitude-ek-its-own-gate-and-binary-padding/article/681188/
◆韓国を狙う新しいランサムウェア「MAGNIBER」が「CERBER」に代わり拡散中 (Trendmicro, 2017/10/24)
https://www.is702.jp/news/2230/partner/101_g/
【ブログ】
■2016年
◆“話す” 暗号化型ランサムウェア「CERBER」、ロシアのアンダーグラウンド市場で販売 (Trendmicro, 2016/03/10)
http://blog.trendmicro.co.jp/archives/12987
◆暗号化型ランサムウェア「CERBER」のバージョン3.0、不正広告で拡散 (Trendmicro, 2016/09/05)
http://blog.trendmicro.co.jp/archives/13770
◆複数のエクスプロイトキットに利用される「CERBER 4.0」 (Trendmicro, 2016/10/14)
http://blog.trendmicro.co.jp/archives/13897
◆解析情報:「CERBER」、データベースファイルの暗号化機能を追加 (Trendmicro, 2016/11/28)
http://blog.trendmicro.co.jp/archives/14102
■2017年
◆進化を続ける巧妙なランサムウェア「CERBER」 (Trendmicro, 2017/05/25)
https://www.is702.jp/news/2153/partner/101_g/
【関連情報】
Cerberの脅迫メッセージ
出典: http://blog.trendmicro.co.jp/wp-content/uploads/2016/03/160310_image01.jpg
出典: http://blog.trendmicro.co.jp/archives/13770
Pseudo Darkleechは、改ざんされたサイトに直接 Rig EK のリンクを埋め込む
出典: http://blog.trendmicro.co.jp/archives/13897
Pseudo Darkleechには、ユーザをリダイレクトするサーバへ誘導し、そこから Rig EK へ誘導するものもある
出典: http://blog.trendmicro.co.jp/archives/13897
出典: http://blog.trendmicro.co.jp/archives/14102
出典: https://www.is702.jp/news/2153/partner/101_g/
【関連まとめ記事】
◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware
【インディケータ情報】
■ハッシュ情報(Sha1)
Sha1 | 備考 |
---|---|
0a6ec6a46e66863e48a05058963d9babf2c2b911 | Cerber 4.1.0 |
fddb48d4910adc0aa75b9529a90e11dac62c41ce | Cerber 4.1.1 |
620dca44514ee1d440867285bbb2a73a35303876 | Cerber 4.1.3 |
8185e5477e29b1095f5fc42197baddac56fb44d2 | Cerber 4.1.4 |
317b1dea823f942061f1f8c6612ef745704c9962 | Cerber 4.1.5 |
cc8f31bb926f862b3c5360e33c32134b871008de | Ransom_CERBER.F116K8 (Cerber 4.1.5) |
9d48589dc1e202847980004f8290cd12289f7a5c | Ransom_CERBER.F116K7 (Cerber 4.1.3) |
66c9ccca850929f1d4b7b07cb5dd0be4a50a73f7 | Cerber 4.1.0 |
■ハッシュ情報(Sha256)
aa3fc1d5a79e1d43165b5556bae2669fd68455508bb667a457fa3dfd25b6222e | Ransom_HPCERBER.SM6 |
■URL情報
hxxp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://api.blockcypher.com/v1/btc/main/addrs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxps://chain.so/api/v2/get_tx_spent/btc/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt
hxxp://xrhwryizf5mui7a5.15ktsh.top/
hxxp://xrhwryizf5mui7a5.uhi7to.bid/
hxxp://xrhwryizf5mui7a5.onion.to/
hxxp://vyohacxzoue32vvk.onion/