C3RB3R Ransomware jest klonem Cerbera

C3RB3R reprezentuje najnowszą wersję oprogramowania ransomware Cerber – rodzaju złośliwego oprogramowania zaprojektowanego do szyfrowania danych i żądania zapłaty za ich odszyfrowanie. Podobnie jak inne warianty ransomware, C3RB3R zmienia nazwy plików po zaszyfrowaniu, dołączając rozszerzenie „.LOCK3D” (z wielką literą „O”, a nie cyfrą zerową) lub „.L0CK3D” (z cyfrą zerową w miejscu litery „O” „). Na przykład plik pierwotnie nazwany „1.jpg” zostanie przekształcony w „1.jpg.LOCK3D” lub „1.jpg.L0CK3D” w wyniku procesu szyfrowania. Po zakończeniu szyfrowania C3RB3R przesyła wiadomość z żądaniem okupu zatytułowaną „read-me3.txt”; warto zauważyć, że składnik numeryczny w nazwie pliku może się różnić.

Żądanie okupu od C3RB3R wyraźnie ostrzega ofiarę przed usunięciem dostarczonego pliku tekstowego. Informuje, że zaszyfrowane pliki są teraz niedostępne, a jedynym sposobem odzyskania danych jest zakup oprogramowania deszyfrującego od atakujących. Operatorzy oprogramowania ransomware ostrzegają również, że próby odszyfrowania plików przy użyciu zewnętrznych narzędzi sprawią, że nie będzie można ich odszyfrować za pomocą tego narzędzia.

Co więcej, ofiara zostaje poinformowana, że jej wrażliwe dane zostały skradzione i jeśli okup nie zostanie zapłacony, zostaną wystawione na sprzedaż w ciemnej sieci. W celu uzyskania dodatkowych informacji ofiara jest kierowana na stronę internetową cyberprzestępców w sieci Tor.

Interfejs strony internetowej ransomware określa kwotę okupu w wysokości 0,085000 BTC (kryptowaluta Bitcoin). Warto zauważyć, że jeśli płatność nie zostanie dokonana w ciągu pięciu dni, kwota podwoi się do 0,170000 BTC.

C3RB3R wystawia długi list z żądaniem okupu

Pełny tekst żądania okupu wygenerowanego przez C3RB3R brzmi następująco:

INSTRUKCJE C3RB3R

WAŻNE: NIE USUWAJ TEGO PLIKU, DOPÓKI NIE ZOSTANĄ ODZYSKANE WSZYSTKIE DANE!!!

Wszystkie ważne pliki zostały zaszyfrowane. Wszelkie próby przywrócenia plików za pomocą oprogramowania innych firm będą dla nich śmiertelne! Jedynym sposobem na bezpieczne odszyfrowanie plików jest zakup specjalnego oprogramowania deszyfrującego „C3rb3r Decryptor”. Pobraliśmy również wiele danych z Twojego systemu. Jeśli nie zapłacisz, sprzedamy Twoje dane w ciemnej sieci.

Więcej informacji powinieneś uzyskać na naszej stronie, która znajduje się w ukrytej sieci Tor.
1. Pobierz przeglądarkę Tor - hxxps://www.torproject.org/
2. Zainstaluj i uruchom przeglądarkę Tor
3. Połącz się przyciskiem „Połącz”
4. Otwórz link w przeglądarce Tor: -
5. Strona powinna się załadować. jeśli z jakiegoś powodu strona się nie ładuje, poczekaj chwilę i spróbuj ponownie
6. Postępuj zgodnie z instrukcjami na tej stronie

Możesz kontynuować zakup oprogramowania deszyfrującego na swojej osobistej stronie:
(URL TOR)

Na tej stronie otrzymasz pełne instrukcje dotyczące zakupu oprogramowania deszyfrującego w celu przywrócenia wszystkich plików. Również na tej stronie będziesz mógł bezpłatnie przywrócić dowolny plik, aby mieć pewność, że „C3rb3r Deszyfrator” Ci pomoże.

UWAGA:
1. Nie próbuj samodzielnie odzyskiwać plików, proces ten może spowodować uszkodzenie danych i ich odzyskanie stanie się niemożliwe.
2. Nie trać czasu na szukanie rozwiązania w Internecie. Im dłużej będziesz czekać, tym wyższa będzie cena oprogramowania deszyfrującego.
3. Przeglądarka Tor może być zablokowana w Twoim kraju lub sieci firmowej. Użyj przeglądarki Tor przez VPN.

W jaki sposób oprogramowanie ransomware typu C3RB3R jest zwykle dystrybuowane?

Ransomware takie jak C3RB3R jest zazwyczaj dystrybuowane różnymi zwodniczymi i złośliwymi metodami. Oto typowe drogi, którymi często rozprzestrzenia się oprogramowanie ransomware:

E-maile phishingowe:
Jedną z najpopularniejszych metod są wiadomości e-mail phishingowe. Cyberprzestępcy wysyłają e-maile zawierające złośliwe załączniki lub łącza, często podszywające się pod legalne dokumenty lub pliki. Kliknięcie tych łączy lub otwarcie załączników może zainicjować pobieranie i wykonanie oprogramowania ransomware.

Złośliwe linki:
Ransomware może być dystrybuowane poprzez złośliwe linki w e-mailach, wiadomościach w mediach społecznościowych lub na zainfekowanych stronach internetowych. Kliknięcie tych linków może spowodować automatyczne pobranie i instalację oprogramowania ransomware.

Zestawy exploitów:
Zestawy exploitów to narzędzia wykorzystywane przez osoby atakujące do identyfikowania i wykorzystywania luk w oprogramowaniu. Gdy użytkownik odwiedza zaatakowaną witrynę internetową, zestaw exploitów może dostarczyć i zainstalować oprogramowanie ransomware w systemie użytkownika.

Złośliwe reklamy:
Złośliwe reklamy polegają na umieszczaniu złośliwych reklam na legalnych stronach internetowych. Kliknięcie tych reklam może prowadzić do pobrania oprogramowania ransomware. Cyberprzestępcy mogą wykorzystywać sieci reklamowe, aby dotrzeć do szerszego grona odbiorców.

Pobieranie na miejscu:
Cyberprzestępcy mogą naruszać legalne strony internetowe i wstrzykiwać złośliwy kod, który powoduje automatyczne pobieranie i instalację oprogramowania ransomware, gdy użytkownicy odwiedzają witrynę, nawet bez klikania czegokolwiek.

Ataki wodopoju:
Podczas ataku wodopoju cyberprzestępcy atakują strony internetowe odwiedzane przez ich docelową grupę odbiorców. Gdy użytkownicy odwiedzają te witryny, mogą nieświadomie pobrać oprogramowanie ransomware. Metodę tę często stosuje się przeciwko konkretnym branżom lub grupom.