近日，360互联网安适中心捕获到一款名为“cerber3”的敲诈者木马。该敲诈者木马会加密计算机中的重要文件，加密的文件类型包孕但不限于.doc,.ppt,.xls.,.jpg,.zip,.pdf等180多种类型。被加密后的文件将无法正常打开且被加上“cerber3”扩展名，用户必需访谒相应网站付出赎金才可恢复文件，对数据安适有巨大威胁。

图1 传染“cerber3”后的桌面配景

图2 勒索信内容

图3 被加密的文件

而这次木马的流传除了以往的邮件附件流传外，也大量使用网站挂马，word宏病毒等手段流传，这也造成多量普通网民中招。

文档打开之后，如果宏被执行的话，宏代码会挪用Powershell做为下载器下载木马执行：

二、  加密流程解析

“cerber3”敲诈者使用RSA搭配随机数进行加密操纵。首先使用RSA公钥加密随机数作为本机专有加密密钥，在对每个文件进行加密时再孕育产生一组随机数并使用该随机数加密文件，最后用本机专有密钥加密该随机数后存放到文件中，同时也将本机专有密钥也通过RSA加密后存到文件中。此种加密要领保证每个文件加密密钥差别并且每台计算机的专有密钥差别，就算暴力破解出此中一组随机数也只能解密一个文件，只有获得RSA私钥才华恢复所有文件。加密流程如下所示。

使用这种分级加密方法，每一个文件中都存储有加密文件使用的密钥，打击者可以对单个文件实施解密操纵。在打击者供给的付款页面中也供给了“免费解密单个文件”的成果。

市面上可以看到有不少用户中招之后，交付赎金解密的案例

三、  代码分析

和其他来自国外的“敲诈者”木马不异，“cerber3”敲诈者木马对反静态分析下了很大的工夫。它通过在申请的虚拟空间中执行数据解密操纵，并通过内存卸载和从头映射两个法式将解密得到的数据写回内存中，从而完成一个“狸猫换太子”的任务。措置惩罚惩罚完的措施和原先的措施完全差别，因此可以躲过绝大大都的静态扫描。

图4 使用push retn变动执行流程至斥地的虚拟内存中

图5 解除文件映射

措施将数据段读取的内容解密之后映射到内存中，从而完成整个措施内容的转换，至此真正的加密事情才开始进行。

加密事情的第一步就是用存储在文件中的RSA公钥加密一组随机数，作为本机独一的初始密钥。

图6 RSA公钥

图7 公钥加密随机数函数

图8 加密得到的本机统一密钥

获得本机初始密钥之后，将会使用该密钥去加密每个文件对应的独一随机数，然后再对文件进行加密，完整的加密流程如下图所示。

图9 加密流程