Cerber勒索病毒应急响应手册：病毒描述、详细分析和解决方案

Cerber家族并没有显著的继承其他敲诈者木马的特征。感染系统中大量文档并向用户勒索赎金。在每个被加密的文件目录下释放名为“# DECRYPT MY FILES #”的四个不同类型文件（html、txt、url、vbs），将用户引导至对应的洋葱域名（onion）页面下支付比特币。

Cerber家族最早见于2015年12月中旬，2016年1月更新到Cerber 2，2月更新到Cerber3开始在国内大规模爆发，现已更新至Cerber4。加密手段则主要采用RSA和RC4算法实现，而非传统敲诈者更常用的AES算法。

常见后缀：cerber 最新变种已成为随机后缀。

传播方式：CVE-2014-6332和CVE-2015-512漏洞，进行网页挂马传播。通过购买广告位、入侵网站后台、钻网站配置不安全空子等方法。

特征：分别是语音提醒，壁纸更换提醒以及用户引导操作帮助文件。

帮助文件也是使用了Base64进行了加密，解密后内容是HTML文件，具体样式如下：

要求Cerber文件解密必须在原来被加密的机器上进行，且要求机器CPU强劲和在原感染环境中。

下面的列表介绍可以通过该工具的最新版本进行处理的已知勒索病毒加密的文件类型：

勒索 文件名和扩展名 

CryptXXX V1，V2，V3 * {原文件名} .crypt，crypz，或5个十六进制字符 

TeslaCrypt V1 ** {原文件名} .ECC 

TeslaCrypt V2 ** {原文件名} .VVV，CCC，ZZZ，AAA，ABC，XYZ 

TeslaCrypt V3 {原文件名} .XXX或TTT或MP3或MICRO 

TeslaCrypt V4 文件名和扩展名不变 

SNSLocker {原文件名} .RSNSLocked 

AutoLocky {原文件名} .locky 

BadBlock {原文件名} 

777 {原文件名} 0.777 

XORIST {原文件名} .xorist或随机扩展 

XORBAT {原文件名} .crypted 

CERBER {原文件名} .cerber 

*CryptXXX V3解密可能无法恢复整个文件（只部分数据能解密）。

关于解密CryptXXX V3的重要信息：

病毒流程

主要线程：

1.关闭某些进程，如sqlserver.exe，这样才能加密并删除数据库文件。

2.创建N个线程，扫描磁盘文件，获取可加密文件列表。

3.创建N个线程，用于加密文件，具体线程数根据本机的配置。

4.创建一个隐藏窗口，用于通知加密完毕。

5.修改主机桌面背景，打开提示文件并显示。

6.主线程等待执行完上述操作后，等待窗口结束。

病毒使用了加壳技术对自身进行了加密，同时还进行了混淆，增加了静态分析的难度，这里我跳过了壳的分析，手动脱壳到病毒的OEP。

这时候把程序dump下来会发现系统的API都看不到，因为程序并没有直接调用API，而已通过一个全局函数数组，通过上图函数加载函数地址并写入的全局函数数组中。程序其他地方直接调用全局函数数组中的函数。

这里dump有两个选择，一个是直接dump，不过因为混淆，增加静态分析的难度，另外一个做法就是执行完混淆还原部分，然后把混淆的函数调用给nop掉，接着dump下来，然后通过工具修复了IAT表，这样方便后续使用IDA进行静态分析（本文采用了第二种）。

补充注意一点，由于病毒代码分布在各个区段中，所以要给每个区段执行权限，这里dump之后使用工具给每一个区段读写执行权限了。

接着程序运行起来了，程序获取自己的模块句柄和文件路径后，接着使用RC4算法解密获取配置信息，这部分同一放在一个函数中（另命名为f_DecryptConfigInfo）执行，该部分配置信息控制病毒后续行为和操作。

解密后的控制信息是一个json格式的文本，包含以下部分：

黑名单

包含感染文件类型黑名单、某些特定文件和特定目录以及部分使用地区。

关闭进程

可以看出主要是某些大众应用和数据库服务进程，关闭这些进程的目的是为了避免文件被占用导致加密操作失败。

加密设置

包含加密文件后缀，文件大小，是否启动多线程，核心线程数等等，不过部分参数会根据感染主机的情况进行适度调整。

RSA公钥

内容是经过了Base64加密后的内容，结果也验证猜想正确。下面是解密后的内容：

用户提示

这里有及部分组成，分别是语音提醒，壁纸更换提醒以及用户引导操作帮助文件。

帮助文件也是使用了Base64进行了加密，解密后内容是HTML文件，具体样式如下：

服务器

服务器这块有两部分，一部分是接收感染主机的信息和通知。另外一部分是给用户用于交付勒索款的。

白名单

特别关照的目录。

读取机器的GUID

病毒从注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography中读取值名称为MachineGuid的值，本测试机器的GUID值为：98abd045-77bf-4e0f-b5d2-3c805156c566这里的以‘-’为分隔符，前4个字符串都有特定的用途：

读取电脑名

读取电脑名，然后和字符串CERBER_CORE_PROTECTION_MUTEX通过计算生成类似下面格式的互斥对象名：

shell.{3817596D-ADF3-6E49-63ED-931789067A56}

网络信息发送

在进行加密前，会发送感染主机的信息，信息的格式见配置文件的data_start，同样使用了Base64进行加密，解密后内容如下：{MD5_KEY}{PARTNER_ID}{OS}{IS_X64}{IS_ADMIN}{COUNT_FILES}{STOP_REASON}{STATUS}测试环境win7 32位系统生成的内容如下："e80ab90e699a 00064 7 0 1 0 0 0"

然后会对上面的字符串进行MD5加密，得到的MD5串为：808A4018E134F0629A88F82940969DF9然后取前2字节'80',作为校验码，服务器使用它来验证收到上面部分的正确性，合成字符串'e80ab90e699a0006470100080'发送为服务器。

加密文件名

文件文件名是由一个函数统一生成的，和原始文件并没有任何规律可言。

加密文件内容

从配置信息加载扫描配置，然后对每个磁盘创建一个扫描线程，获取符合加密条件的文件列表。

接着准备加密了，在加密之前会针对机器情况调整加密线程数，同时关闭部分进程，保证加密的运行。

由于CryptXXX V3勒索病毒先进的加密算法，只能进行部分数据解密，并且有几率修复失败。该工具会尝试解密，包括DOC，DOCX，XLS，XLSX，PPT。修复后某些文件格式和PPTX（常见的Microsoft Office）的文件，添加“_fixed”名字到原始文件名称并放置在原文件相同的位置。当打开Microsoft Office文件，它会有消息提示，会试图再次修复文件，而这个过程是能够恢复该文件的。

请注意，由于不同的版本的Microsoft Office和特定文件的行为，此工具不能保证本方法会完全恢复文档。另外，对于部分数据解密后的其他文件，用户可能要使用第三方损坏的文件恢复工具（如开源程序JPEGSnoop *）来尝试恢复完整的文件。关于解密CERBER的重要信息：CERBER解密必须在被感染的机器运行（而不是到另一台机器），因为该工具需要尝试并定位第一个受感染的文件为一个临界点用来解密计算。由于解密CERBER的方法特别，英特尔i5双核计算机使用该工具可能需要几个小时（平均为4小时）时间。此外，对于CERBER加密逻辑，用多核CPU具有较高的成功几率，因为CERBER复杂的解密算法。类似于一些其他类型的勒索加密文件，某些文件可能只有一部分可以解密，针对办公文件office，解密的成功几率比较高。

相关引用：

[1]：参考看雪论坛(链接)

[2]：参考卡饭论坛(链接)

要求Cerber文件解密必须在原来被加密的机器上进行，且要求机器CPU强劲和在原感染环境中。

一、 软件下载：

http://esupport.trendmicro.com/solution/en-US/1114221.aspx。

运行后弹出需要用户接受最终用户许可协议（EULA），点击继续。

接受EULA后，该工具将进入主用户界面（UI）。到这里，解密工具会指导用户将一步一步的操作。

二、格式化系统盘，保留被加密数据。

(注意：Cerber，用破解软件破解的成功率是有的，但是往往会出现文件被损坏，所以请测试破解软件的朋友先备份再测试)

三、其他恢复文件方法：

使用 Final Date 这样的数据恢复软件

因为病毒是先把你的文件加密生成新文件，然后删除你的原始文件，所以有比较大的几率使用这类磁盘数据恢复软件可以找回，英文路径的文件更有优势。

PS：Cerber病毒解密对于word文档类文件有着一定的成功率，但对其他文件成功率较低，且解密出来的文件有可能是损毁文件。

由于CryptXXX V3勒索病毒先进的加密算法，只能进行部分数据解密，并且有几率修复失败。

该工具会尝试解密，包括DOC，DOCX，XLS，XLSX，PPT。修复后某些文件格式和PPTX（常见的Microsoft Office）的文件，添加“_fixed”名字到原始文件名称并放置在原文件相同的位置。当打开Microsoft Office文件，它会有消息提示，会试图再次修复文件，而这个过程是能够恢复该文件的。请注意，由于不同的版本的Microsoft Office和特定文件的行为，此工具不能保证本方法会完全恢复文档。

另外，对于部分数据解密后的其他文件，用户可能要使用第三方损坏的文件恢复工具（如开源程序JPEGSnoop *）来尝试恢复完整的文件。

关于解密Cerber的重要信息：

由于解密Cerber的方法特别，英特尔i5双核计算机使用该工具可能需要几个小时（平均为4小时）时间。此外，对于Cerber加密逻辑，用多核CPU具有较高的成功几率，因为Cerber复杂的解密算法。类似于一些其他类型的勒索加密文件，某些文件可能只有一部分可以解密。

以上信息均由经纬信安应急团队整理于互联网，如有侵权请联系经纬信安。

预防是网络安全最行之有效的方法，在网络管理上要提高安全意识，不要运行来历不明的软件，及时更新操作系统安全补丁，防止病毒利用漏洞传播。建议安装经纬信安的戍将内源威胁防御平台，事先检查漏洞和开放的端口服务，实时感知和防御勒索病毒，特别是横向移动、变种、未知攻击的病毒。戍将具有预警、感知、诱捕和联动的功能，且旁路部署，适应性强。