Cerber

유포경로

Cerber 랜섬웨어(Ransomware)의 가장 대표적인 감염 방식은 보안 업데이트가 제대로 이루어지지 않은 PC 환경에서 취약점(Exploit) 코드가 포함된 웹 사이트에 접속하는 과정에서 자동으로 감염되는 방식이며, 일반적으로 광고 배너를 차단하면 된다고 알려져 있지만 실제로는 문제 사이트에 접속하는 것 자체가 감염의 시작점이 될 가능성이 높습니다.
일부는 메일에 의해서도 감염되고, 다운받은 doc 파일을 열람시 내부에 삽입되어 있는 코드(매크로)가 실행되는 형태로 감염되기도 합니다.
P2P를 통해서도 감염이 되고 애드웨어 광고창을 닫지 않아서 생길 수도 있습니다.

확장자

감염되면 파일을 암호화 하고 확장자를 .cerber 또는 .cerber1, .cerber2로 변경합니다.

특징

말하는 랜섬웨어로 유명하고, 감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”라는 음성 메시지를 출력합니다.
아시아 태평양 지역을 주로 타깃으로 하고 있어 국내 사용자들의 주의가 요구됩니다.
악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송하고, 네트워크가 연결되지 않더라도 파일은 암호화됩니다.
윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듭니다.
PC에서 접근 가능한 모든 저장소(Cloud Drive, Local Disk, USB Drive, NetWork Drive)의 파일을 암호화하는 형태로 발전했습니다.
Cerber 랜섬웨어가 주로 활동했던 시기는 2016년이며, 2016년 하반기 국내 랜섬웨어 중 60%는 Cerber였을 정도로 많은 피해를 입혔습니다.