Специалисты компании Trend Micro обнаружили новую, третью версию шифровальщика Cerber, которая начала распространяться при помощи эксплоит китов RIG и Magnitude. Хотя предыдущие версии вымогателя были успешно взломаны экспертами, шифрование третьей версии пока держится.
Cerber 3 претерпел незначительные изменения, по сравнению с предыдущими версиями. Так, почти не изменился текст сообщения, в котором злоумышленники требуют выкуп, да и размер выкупа остался практически прежним 1 биткоин против 1,24 биткоина ранее. Однако поменялось расширение файлов: теперь зашифрованные файлы переименовываются в .cerber3. Кроме того, авторы вымогателя вернули в строй функцию, которая присутствовала еще в самой первой версии шифровальщика, став своеобразной «визиткой» Cerber, хотя она и была отключена в последующих релизах. Отличительной чертой Cerber поначалу являлось использование технологии TTS (text-to-speech), которая снова заработала. То есть малварь не просто отображает требования злоумышленников в текстовом виде, но и зачитывает их вслух женским голосом.
Очевидно, релиз третьей версии шифровальщика является попыткой обойти декриптеры, так как в середине августа 2016 года эксперты компаний Check Point и IntSight представили инструмент для расшифровки данных, пострадавших от Cerber v2. Первую версию малвари взломали еще раньше.
Эксперты компании AVG, тоже заметившие релиз новой версии вымогателя, полагают, что расшифровка файлов, пострадавших от третьей версии Cerber, пока невозможна.
@s8mathur Hi. IMHO this version is not decryptable at the moment.
— Jakub Kroustek (@JakubKroustek) September 2, 2016
Шифровальщик по-прежнему распространяется наборами эксплоитов RIG и Magnitude, то есть по средством вредоносной рекламы. Исследователи Trend Micro пишут, что пока инфекция угрожает преимущественно пользователям Тайваня, на которых атаки злоумышленником сконцентрированы сильнее всего.
