기능적인 관점에서 케르베르는 다른 랜섬웨어 위협과 크게 다르지 않다. 이 랜섬웨어는 강력한 AES-256 알고리즘으로 문서, 그림, 음성파일, 영상파일, 아카이브, 백업을 포함한 수십 개의 파일 형태를 암호화한다.
이 프로그램은 콘텐츠와 파일 이름을 암호화하고 원래 확장자를 .cerber로 변경한다. 또한 컴퓨터 내에 드라이브 문자로 나타나지 않는 공유 네트워크라도 찾아낸다.
암호화 절차가 끝난 후 케르베르는 피해자의 데스크톱에 "# DECRYPT MY FILES #."이라는 이름을 새기고 3개의 파일을 넣는다. 범죄자들은 이 파일에 인질 요구사항과 돈을 지불하는 방법에 대한 지시사항을 설명해놓았다. 이 파일은 txt 파일 형태, HTML 형태, 나머지 하나는 VBS(Visual Basic Scripting) 등으로 되어있다.
브리핑컴퓨터(BleepingComputer) 기술 지원 포럼 관리자 로렌스 아브람스는 "VBS 파일은 조금 특이하다. 이 파일은 텍스트를 음성 메시지로 변환하는 TTS(text-to-speech code) 코드가 포함되어 있다"고 말했다. 아브람스는 한 블로그에 스크립트가 이미 실행됐다면 자신의 컴퓨터는 "당신의 컴퓨터 파일은 이미 암호화됐다"는 메시지를 수없이 반복할 것이라고 전했다.
사이버 정보팀 센스사이(SenseCy)에 따르면, 케르베르의 제작자들은 이 랜섬웨어를 러시아 언어로 된 포럼에서 서비스 형태(ransomware as a service)로 팔고 있다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 확산을 가져올 수 있음을 의미한다. editor@itworld.co.kr