从本年3月开始，Cerber敲诈者病毒家族开始在世界各地残虐。在中国，Cerber3则成为近期敲诈者雄师中的“明星成员”，电脑中毒后文件后缀变为cerber3的受害者求助在各大论坛比比皆是。
对贪得无厌的病毒制作者来说，变种更新的速度也是极快的，新一代Cerber病毒——Cerber4又很快涌现出来。但此次它不再使用标识表记标帜性的Cerber系列后缀，而是把加密文件后缀改削为4个随机字符（数字和字母），例如.w2qt等。
360QVM团队在监测到Cerber4病毒变种后进行深入查询拜访，发明该变种主打网站挂马流传，且更新了多国语言版本的勒索(按照本地语言)，将勒索信息存于后缀为hta的进程中。别的，Cerber4还增加了判断本机时间执行恶意操纵、封锁数据库进程以加密数据文件（解除文件占用）等新的特性，但是在病毒运作流程上又回归了更传统的傀儡模式。以下是详细技术分析：
一． 流传方法
Cerber4作者使用了一些Exploit工具对有缝隙的网站进行渗透，接着注入EITest脚本，最后执行最主要的payload进行下载cerber4。


二． 病毒运作流程
A．cerber3流程

如上图所示，cerber3自己是一个加载器，加载器使用了各类混淆技术来绕过杀软的特征检测，并通过最外层的loader加载器释放解密后的shellcode_1。Shellocde_1又充当了一层加载器，开始解密并释放shellcode_2。Shellcode_2也是一层加载器，只不过没有再进行解密释放shellcode_3。而是使用UnmapViewOfSection卸载当前的ImageBase。并把shellcode2写入到原ImageBase处。进行PE修复后，将eip设置到进程的入口点。于是乎开始执行勒索软件真正的成果了。
B．cerber4流程

Cerber4去除了Cerber3繁琐的加载流程，取而代之的是更为传统的傀儡模式：CreateProcess-》GetThraedContext-》ZwUnMapViewOfSection》WriteProcessMemory—》SetThreadContext-》ResumeThread。
三． 病毒分析（cerber3）
A．loader加载器
a. 初始化Loader布局体
加载器动态的将初始化的数据存安排此布局中，以此绕过静态扫描

b. 最外层加载器
最外层加载器函数如下：

1.获取data段首4字节中的内容，此数值为shellcode_1需要分配的巨细

2.分配该数值巨细的内存，用于存储shellcode_1

3.从data段首地点+4处拷贝上述shellcode_1巨细的内容到shellcode_1中

4.开始解密（分2步）
第一步：通过简单的加减运算单个字符来实现。

第二步：将shellcode_1+4处的4字节作为亦或运算的key，使用key解密

5.跳转至shellcode_1入口处

c. Shellcode_1充当加载器
Shellcode_1加载器函数如下：

与之前类似，这里只贴一下部分重要函数
1.解密函数：简单的加减和亦或运算

2.跳转shellcode：

d. Shellcode_2充当傀儡进程
1.修复PE



2.UnMapViewOfSection并写入修复好的PE进行傀儡

B．文件加密
加密的配置完全依据病毒内存中的json中的内容来进行操纵的。大抵上有如下几种：
1. 文件夹黑名单(不能加密的文件/文件夹,如Windows文件夹等)

2. 语言地区黑名单(不能加密的地区，如：俄罗斯，乌克兰，比利时等东欧/中欧国家)

3. 需要加密的文件后缀名(主要是一些mdb，db等数据格局的文件)

4. 加密算法以及加密行为的一些配置

分袂为：加密分块的最大巨细以及加密区域的个数，最小的文件巨细，是否开启多线程模式来加密文件，是否加密网络共享盘，加密后的文件名后缀，rc4 key的巨细，rsa key的巨细以及颠末base64加密后的编码。
颠末base64解密，我们可以知道这是一个2048位rsa加密的公钥

5. 勒索的html文件以及txt文件中的内容，也是颠末base64加密编码过的

颠末base64解密后，我们可以很明显的看到html的标题为勒索文件的html内容

6. 行为配置，操纵系统判断，端口，C&C处事器等等

分袂为：是否移除卷影副本，是否删除自身，操纵系统信息，C&C处事器地点，连接告成后发送的标示，C&C处事器端口，是否需要发送，发送超不时间，告成传染后是否需要语音提示，语音提示反复次数以及语音提示的内容。
7. 壁纸配置(是否需要转变壁纸，壁纸内容等)，告成加密后将勒索信息显示在桌面上


8. 文件夹白名单(必需要加密的文件/文件夹，如outlook，powerpoint等文件夹)

9. TOR缴费网站颠末base64加密后的编码以及解密后的原文

a. 加密前的筹备事情(信息收集)
cerber3首先会在加密前判断PC所使用的语言，若存在为json配置中languages列表中的，则不会触发cerber3加密文件的成果

cerber3其次收集PC上相关的信息，并使用UDP单向传输发送到json配置中servers. Statistics.ip的C&C处事器上。 发送内容的格局为json配置中的servers.data_start所包罗的信息，大抵如下：