Специалисты компании Trend Micro предупредили о появлении новой версии шифровальщика Cerber, который в последнее время сместил с пьедестала почета Locky и CryptXXX и набрал огромную популярность в киберкриминальной среде.
Хотя Cerber v3.0 появился совсем недавно, в сентябре 2016 года, в начале октября разработчики малвари уже представили новый Cerber v4.0. Первым появление вредоноса обнаружил специалист в области информационной безопасности, известный под псевдонимом Kafeine, а затем малварь изучили и специалисты компании Trend Micro.
Исследователи пишут, что теперь Cerber, обычно присваивавший зашифрованным файлам расширения вроде .cerber3, сменил почерк. Теперь зашифрованным файлам присваиваются рендомно сгенерированные расширения, что в теории может затруднить «опознание» малвари пользователями. Также формат послания, в котором операторы вредоноса требуют выкуп, сменился с .html на .hta.
Специалисты Trend Micro цитируют рекламные объявления, которые авторы малвари используют для распространения своего детища в даркнете. Вот какие функции обещают вирусописатели своим покупателям:
- FUD на топовых антивирусах (скантайм / рантайм);
- Обход мониторинга активности (массовое изменение, обход ханипотов итд.);
- Обход всех известных anti-ransomware программ;
- Работает 5 крипторов 7 дней в неделю;
- Обновленный морф;
- Новые инструкции на 13 языках + новый фон;
- Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет);
- Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования;
- Новые типы файлов для шифрования;
- Закрытие запущенных процессов всех топовых баз данных;
- Обновленный JS Loader;
- Новые onion домены и многое другое.
Исследователи сообщают, что Cerber 4.0 уже был включен в состав наиболее популярных на сегодня эксплоит китов, то есть RIG, Neutrino и Magnitude, а значит, он используется как минимум в трех мощных вредоносных кампаниях. В частности, кампания известная как PseudoDarkleech, ранее долго использовавшая шифровальщиков CrypMIC и CryptXXX, теперь переключилась на Cerber 4.0.
«Вымогательский софт – это угроза, которая постоянно эволюционирует. Одним из фундаментальных приемов защиты против нее является создание бекапов. Следуйте правилу 3-2-1: три копии, два устройства и еще одна копия, хранящаяся в надежном и защищенном месте. Потери данных можно избежать, если регулярно делать резервные копии», — напоминают аналитики Trend Micro.
Фото: Depositphotos
