cerber

General

Target

c7e7e1b381bdf875b4bd69c5ec3f0b85_JaffaCakes118
Size

398KB
Sample

240829-akchdswbmm
MD5

c7e7e1b381bdf875b4bd69c5ec3f0b85
SHA1

da2c23929c55648e0e546deb35fd0023f86fc271
SHA256

055c93a41529b2d7cee924fb9b4c490dc11d38e6746c8c43700433f4df816534
SHA512

b9fd14500186bd158309e59822e4421077b4f0db8ce2952a7147721caba94cd5f58c37943e9cad20233f1ef795b9042b67a392f9c3fe3d08d9c3f9a0f479803d
SSDEEP

12288:2ZbsgueyxpRPsQEfUz3fj1Urd+2tsYqVWzVz3j8LDR:GblueouUz3L1Uw2tn7zT8LF

Score

10^/10

Malware Config

Extracted

Path

C:\Users\Admin\Desktop\_READ_THI$_FILE_JNONR_.txt

Ransom Note

CERBER RAN$OMWARE --- YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! --- The only way to decrypt your files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_READ_THIS_FILE_*) with complete instructions how to decrypt your files. If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below: --- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://p27dokhpz2n7nvgr.onion/48D0-9273-FCBB-0446-95E7 Note! This page is available via "Tor Browser" only. --- Also you can use temporary addresses on your personal page without using "Tor Browser". --- 1. http://p27dokhpz2n7nvgr.1a7wnt.top/48D0-9273-FCBB-0446-95E7 2. http://p27dokhpz2n7nvgr.1czh7o.top/48D0-9273-FCBB-0446-95E7 3. http://p27dokhpz2n7nvgr.1hpvzl.top/48D0-9273-FCBB-0446-95E7 4. http://p27dokhpz2n7nvgr.1pglcs.top/48D0-9273-FCBB-0446-95E7 5. http://p27dokhpz2n7nvgr.1cewld.top/48D0-9273-FCBB-0446-95E7 --- Note! These are temporary addresses! They will be available for a limited amount of time!

URLs

http://p27dokhpz2n7nvgr.onion/48D0-9273-FCBB-0446-95E7

http://p27dokhpz2n7nvgr.1a7wnt.top/48D0-9273-FCBB-0446-95E7

http://p27dokhpz2n7nvgr.1czh7o.top/48D0-9273-FCBB-0446-95E7

http://p27dokhpz2n7nvgr.1hpvzl.top/48D0-9273-FCBB-0446-95E7

http://p27dokhpz2n7nvgr.1pglcs.top/48D0-9273-FCBB-0446-95E7

http://p27dokhpz2n7nvgr.1cewld.top/48D0-9273-FCBB-0446-95E7

Extracted

Path

C:\Users\Admin\AppData\Local\Microsoft\OneNote\16.0\cache\_READ_THI$_FILE_BP32AOWW_.txt

Ransom Note

CERBER RAN$OMWARE --- YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED! --- The only way to decrypt your files is to receive the private key and decryption program. To receive the private key and decryption program go to any decrypted folder, inside there is the special file (*_READ_THIS_FILE_*) with complete instructions how to decrypt your files. If you cannot find any (*_READ_THIS_FILE_*) file at your PC, follow the instructions below: --- 1. Download "Tor Browser" from https://www.torproject.org/ and install it. 2. In the "Tor Browser" open your personal page here: http://p27dokhpz2n7nvgr.onion/2DE0-C462-F97B-0446-9111 Note! This page is available via "Tor Browser" only. --- Also you can use temporary addresses on your personal page without using "Tor Browser". --- 1. http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111 2. http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111 3. http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111 4. http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111 5. http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111 --- Note! These are temporary addresses! They will be available for a limited amount of time!

URLs

http://p27dokhpz2n7nvgr.onion/2DE0-C462-F97B-0446-9111

http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111

http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111

http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111

http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111

http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111

Extracted

Path

C:\Users\Admin\AppData\Local\Microsoft\OneNote\16.0\cache\_READ_THI$_FILE_KSU5_.hta

Family

cerber

Ransom Note

<!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> <title>CERBER RANSOMWARE: Instructions</title> <HTA:APPLICATION APPLICATIONNAME="F" SCROLL="yes" SINGLEINSTANCE="yes" WINDOWSTATE="maximize"> <style> a { color: #04a; text-decoration: none; } a:hover { text-decoration: underline; } body { background-color: #e7e7e7; color: #222; font-family: "Lucida Sans Unicode", "Lucida Grande", sans-serif; font-size: 13pt; line-height: 19pt; } body, h1 { margin: 0; padding: 0; } hr { color: #bda; height: 2pt; margin: 1.5%; } h1 { color: #555; font-size: 14pt; } ol { padding-left: 2.5%; } ol li { padding-bottom: 13pt; } small { color: #555; font-size: 11pt; } ul { list-style-type: none; margin: 0; padding: 0; } .button { color: #04a; cursor: pointer; } .button:hover { text-decoration: underline; } .container { background-color: #fff; border: 2pt solid #c7c7c7; margin: 5%; min-width: 850px; padding: 2.5%; } .header { border-bottom: 2pt solid #c7c7c7; margin-bottom: 2.5%; padding-bottom: 2.5%; } .h { display: none; } .hr { background: #bda; display: block; height: 2pt; margin-top: 1.5%; margin-bottom: 1.5%; overflow: hidden; width: 100%; } .info { background-color: #efe; border: 2pt solid #bda; display: inline-block; padding: 1.5%; text-align: center; } .updating { color: red; display: none; padding-left: 35px; background: url('data:image/gif;base64,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') left no-repeat; } #change_language { float: right; } #change_language, #texts div { display: none; } </style> </head> <body> <div class="container"> <div class="header"> <a id="change_language" href="#" onclick="return changeLanguage1();" title="English">☑ English</a> <h1>CERBER RANSOMWARE</h1> Instructions </div> <div id="languages"> ☑ Select your language <ul> <li><a href="#" title="English" onclick="return showBlock('en');">English</a></li> <li><a href="#" title="Arabic" onclick="return showBlock('ar');">العربية</a></li> <li><a href="#" title="Chinese" onclick="return showBlock('zh');">中文</a></li> <li><a href="#" title="Dutch" onclick="return showBlock('nl');">Nederlands</a></li> <li><a href="#" title="French" onclick="return showBlock('fr');">Français</a></li> <li><a href="#" title="German" onclick="return showBlock('de');">Deutsch</a></li> <li><a href="#" title="Italian" onclick="return showBlock('it');">Italiano</a></li> <li><a href="#" title="Japanese" onclick="return showBlock('ja');">日本語</a></li> <li><a href="#" title="Korean" onclick="return showBlock('ko');">한국어</a></li> <li><a href="#" title="Polish" onclick="return showBlock('pl');">Polski</a></li> <li><a href="#" title="Portuguese" onclick="return showBlock('pt');">Português</a></li> <li><a href="#" title="Spanish" onclick="return showBlock('es');">Español</a></li> <li><a href="#" title="Turkish" onclick="return showBlock('tr');">Türkçe</a></li> </ul> </div> <div id="texts"> <div id="en"> Can't yoKU5m0Rjgu find the necessary files? Is the czontent of your files not readable? It is normal be3cause the files' names and the data in your files have been encrypcmFpNted by "CeAy5Hprber Ransomware". It me6TSdWkans your files are NOT damageAmLJ1d! Your files are modified only. This modification is reversible. FJdrom now it is not posseqG8oSQible to use your files until they will be decrypted. The only way to deckkEB4krFrypt your files safely is to buy the special decryption software "CVderber Decryptor". Any attempts to restZfKKTYore your files with the thir9yUeBd-party software will be fatal for your files! <hr> You can proc1sqheed with purchasing of the decryption softwSaxare at your personal page: PleB1dase wait...<a class="url" href="http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111</a> If tPU4qHS9his page cannot be opened  clivck here  to get a new addrQIess of your personal page. If the addreeiEhmebhess of your personal page is the same as befo2Rre after you tried to get a new one, you cyJrYY6ian try to get a new address in one hour. At thH7SKOyROis page you will receive the complete instrtuctions how to buy the decryptisu3SRon software for restoring all your files. Also at this page you will be able to resohkLFnR5xMtore any one file for free to be sure "Cerbe0Kt6Y4IFZr Decryptor" will help you. <hr> If your pergRsonal page is not availaV1uEPr8VVble for a long period there is another way to open your personal page - instaahnASWllation and use of Tor Browser: <ol> <li>run your InteaiwOrnet browser (if you do not know what it is run the Internet Explorer);</li> <li>entIer or copy the address <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> into the address bar of your browser and press ENTER;</li> <li>wait for the site loadlming;</li> <li>on the site you will be offered to dorQps2Xdwnload Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;</li> <li>ruOu92WJsUn Tor Browser;</li> <li>connect with the buttyqGURon "Connect" (if you use the English version);</li> <li>a normal Internet brosA8DQE86Jwser window will be opened after the initialization;</li> <li>type or copy the addo7Jress http://p27dokhpz2n7nvgr.onion/2DE0-C462-F97B-0446-9111 in this browser address bar;</li> <li>presaHyss ENTER;</li> <li>the site shoZKSUVNvuld be loaded; if for some reason the site is not loUBHqn6YCSkading wait for a moment and try again.</li> </ol> If you have any prcPbaAbiedoblems during installation or use of Tor Browser, please, visit <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> and type request in the searco5uNasIjh bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use. <hr> Addit0Hc7Bional information: You will fiKnd the instruFx8Qm8L6GActions ("*_READ_THIS_FILE_*.hta") for redGgeKstoring your files in any fgJB3c1ZPkAolder with your encX8rv5Iu9KJrypted files. The instr7S3BxwMUuctions "*_READ_THIS_FILE_*.hta" in the fkjmeyolderE9sys with your encryUA2aDpted files are not virZI4zluses! The instrucQtions "*_READ_THIS_FILE_*.hta" will headRwDnSPWlp you to decRk4K2GKOXZrypt your files. RemembefazuT1ua0or! The worst si56WbPG4iD3tuation already happCCMBened and now the future of your files de2pends on your determlzination and speed of your actions. </div> <div id="ar" style="direction: rtl;"> لا يمكنك العثور على الملفات الضرورية؟ هل محتوى الملفات غير قابل للقراءة؟ هذا أمر طبيعي لأن أسماء الملفات والبيانات في الملفات قد تم تشفيرها بواسطة "Cerber Ransomware". وهذا يعني أن الملفات الخاصة بك ليست تالفة! فقد تم تعديل ملفاتك فقط. ويمكن التراجع عن هذا. ومن الآن فإنه لا يكن استخدام الملفات الخاصة بك حتى يتم فك تشفيرها. الطريقة الوحيدة لفك تشفير ملفاتك بأمان هو أن تشتري برنامج فك التشفير المتخصص "Cerber Decryptor". إن أية محاولات لاستعادة الملفات الخاصة بك بواسطة برامج من طرف ثالث سوف تكون مدمرة لملفاتك! <hr> يمكنك الشروع في شراء برنامج فك التشفير من صفحتك الشخصية: أرجو الإنتظار...<a class="url" href="http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1a7wnt.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1czh7o.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1hpvzl.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1pglcs.top/2DE0-C462-F97B-0446-9111</a><hr><a href="http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111" target="_blank">http://p27dokhpz2n7nvgr.1cewld.top/2DE0-C462-F97B-0446-9111</a> في حالة تعذر فتح هذه الصفحة  انقر هنا  لإنشاء عنوان جديد لصفحتك الشخصية. في هذه الصفحة سوف تتلقى تعليمات كاملة حول كيفية شراء برنامج فك التشفير لاستعادة جميع الملفات الخاصة بك. في هذه الصفحة أيضًا سوف تتمكن من استعادة ملف واحد بشكل مجاني للتأكد من أن "Cerber Decryptor" سوف يساعدك. <hr> إذا كانت صفحتك الشخصية غير متاحة لفترة طويلة فإن ثمّة طريقة أخرى لفتح صفحتك الشخصية - تحميل واستخدام متصفح Tor: <ol> <li>قم بتشغيل متصفح الإنترنت الخاص بك (إذا كنت لا تعرف ما هو قم بتشغيل إنترنت إكسبلورر);</li> <li>قم بكتابة أو نسخ العنوان <a href="https://www.torproject.org/download/download-easy.html.en" target="_blank">https://www.torproject.org/download/download-easy.html.en</a> إلى شريط العنوان في المستعرض الخاص بك ثم اضغط ENTER;</li> <li>انتظر لتحميل الموقع;</li> <li>سوف يعرض عليك الموقع تحميل متصفح Tor. قم بتحميله وتشغيله، واتبع تعليمات التثبيت، وانتظر حتى اكتمال التثبيت;</li> <li>قم بتشغيل متصفح Tor;</li> <li>اضغط على الزر "Connect" (إذا كنت تستخدم النسخة الإنجليزية);</li> <li>سوف تُفتح نافذة متصفح الإنترنت العادي بعد البدء;</li> <li>قم بكتابة أو نسخ العنوان http://p27dokhpz2n7nvgr.onion/2DE0-C462-F97B-0446-9111 في شريط العنوان في المتصفح;</li> <li>اضغط ENTER;</li> <li>يجب أن يتم تحميل الموقع؛ إذا لم يتم تحميل الموقع لأي سبب، انتظر للحظة وحاول مرة أخرى.</li> </ol> إذا كان لديك أية مشكلات أثناء عملية التثبيت أو استخدام متصفح Tor، يُرجى زيارة <a href="https://www.youtube.com/results?search_query=Install+Tor+Browser+Windows" target="_blank">https://www.youtube.com</a> واكتب الطلب "install tor browser windows" أو "تثبيت نوافذ متصفح Tor" في شريط البحث، وسوف تجد الكثير من أشرطة الفيديو للتدريب حول تثبيت متصفح Tor واستخدامه. <hr> معلومات إضافية: سوف تجد إرشادات استعادة الملفات الخاصة بك ("*_READ_THIS_FILE_*") في أي مجلد مع ملفاتك المشفرة. الإرشادات ("*_READ_THIS_FILE_*") الموجودة في المجلدات مع ملفاتك المشفرة ليست فيروسات والإرشادات ("*_READ_THIS_FILE_*") سوف تساعدك على فك تشفير الملفات الخاصة بك. تذكر أن أسوأ موقف قد حدث بالفعل، والآن مستقبل ملفاتك يعتمد على عزيمتك وسرعة الإجراءات الخاصة بك. </div> <div id="zh"> 您找不到所需的文件？ 您文件的内容无法阅读？ 这是正常的，因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。 这意味着您的文件并没有损坏！您的文件只是被修改了，这个修改是可逆的，解密之前您无法使用您的文件。 安全解��

Targets

- Target
  
  c7e7e1b381bdf875b4bd69c5ec3f0b85_JaffaCakes118
- Size
  
  398KB
- MD5
  
  c7e7e1b381bdf875b4bd69c5ec3f0b85
- SHA1
  
  da2c23929c55648e0e546deb35fd0023f86fc271
- SHA256
  
  055c93a41529b2d7cee924fb9b4c490dc11d38e6746c8c43700433f4df816534
- SHA512
  
  b9fd14500186bd158309e59822e4421077b4f0db8ce2952a7147721caba94cd5f58c37943e9cad20233f1ef795b9042b67a392f9c3fe3d08d9c3f9a0f479803d
- SSDEEP
  
  12288:2ZbsgueyxpRPsQEfUz3fj1Urd+2tsYqVWzVz3j8LDR:GblueouUz3L1Uw2tn7zT8LF
Score

10^/10

cerber discovery evasion persistence privilege_escalation ransomware upx
- Cerber
  Cerber is a widely used ransomware-as-a-service (RaaS), first seen in 2017.
  ransomware cerber
- Blocklisted process makes network request
- Contacts a large (1096) amount of remote hosts
  This may indicate a network scan to discover remotely running services.
  discovery
- Modifies Windows Firewall
  evasion
- Checks computer location settings
  Looks up country code configured in the registry, likely geofence.
- Deletes itself
- Drops startup file
- UPX packed file
  Detects executables packed with UPX/modified UPX open source packer.
  upx
- Drops file in System32 directory
- Sets desktop wallpaper using registry
  ransomware
- Suspicious use of SetThreadContext
behavioral1 behavioral2