Специалисты компании Trend Micro предупредили о появлении новой версии шифровальщика Cerber, который в последнее время сместил с пьедестала почета Locky и CryptXXX и набрал огромную популярность в киберкриминальной среде.

Хотя Cerber v3.0 появился совсем недавно, в сентябре 2016 года, в начале октября разработчики малвари уже представили новый Cerber v4.0. Первым появление вредоноса обнаружил специалист в области информационной безопасности, известный под псевдонимом Kafeine, а затем малварь изучили и специалисты компании Trend Micro.

Исследователи пишут, что теперь Cerber, обычно присваивавший зашифрованным файлам расширения вроде .cerber3, сменил почерк. Теперь зашифрованным файлам присваиваются рендомно сгенерированные расширения, что в теории может затруднить «опознание» малвари пользователями. Также формат послания, в котором операторы вредоноса требуют выкуп, сменился с .html на .hta.

Специалисты Trend Micro цитируют рекламные объявления, которые авторы малвари используют для распространения своего детища в даркнете. Вот какие функции обещают вирусописатели своим покупателям:

  • FUD на топовых антивирусах (скантайм / рантайм);
  • Обход мониторинга активности (массовое изменение, обход ханипотов итд.);
  • Обход всех известных anti-ransomware программ;
  • Работает 5 крипторов 7 дней в неделю;
  • Обновленный морф;
  • Новые инструкции на 13 языках + новый фон;
  • Синхронизация доменов через блокчейн (больше не важно забанили домен лендинга или нет);
  • Рандомное расширение для шифрованных файлов, обновленный алгоритм шифрования;
  • Новые типы файлов для шифрования;
  • Закрытие запущенных процессов всех топовых баз данных;
  • Обновленный JS Loader;
  • Новые onion домены и многое другое.

Исследователи сообщают, что Cerber 4.0 уже был включен в состав наиболее популярных на сегодня эксплоит китов, то есть RIG, Neutrino и Magnitude, а значит, он используется как минимум в трех мощных вредоносных кампаниях. В частности, кампания известная как PseudoDarkleech, ранее долго использовавшая шифровальщиков CrypMIC и CryptXXX, теперь переключилась на Cerber 4.0.

«Вымогательский софт – это угроза, которая постоянно эволюционирует. Одним из фундаментальных приемов защиты против нее является создание бекапов. Следуйте правилу 3-2-1: три копии, два устройства и еще одна копия, хранящаяся в надежном и защищенном месте. Потери данных можно избежать, если регулярно делать резервные копии», — напоминают аналитики Trend Micro.

Фото: Depositphotos



4 комментария

  1. AgentJordan

    14.10.2016 at 00:14

    Клоуны, как, собственно, и все остальные «разработчики» шифровальщиков. У компаний, которые страдают от шифровальщиков — высшая степень невежества. Возможно я и не прав, ведь бэкап — это новейшая технология, разработана обитателями галактики Андромеды, попала на Землю случайным образом и доступна только избранным.

    • Inject0r

      14.10.2016 at 02:57

      Для бэкапа нужны дисковые массивы большие, а у бюджетных организаций, например, денег нет для покупки такого оборудования. Там даже компы лет по 8 не обновляют из-за нехватки денег. От шифровальщика можно вполне защититься и без бэкапа, если админ правильно настроил SRP.

      • AgentJordan

        14.10.2016 at 08:49

        Можно долго обсуждать у кого нет денег. Есть множество способов и реализаций бэкапа и то, что бэкап не единственный способ защиты от шифровальщиков — факт. Только кому это нужно? Всё и так замечательно работает. Как только пострадают критически важные документы, в единственном экземпляре — деньги найдутся.

  2. Jeffrey Davis

    14.10.2016 at 11:09

    А у пользователей на экране возникает стильное окошко с бегущей строкой и подписью: «Пожалуйста, подождите. Выполняется обновление. В новой версии вас ждёт…», — далее по списку. И не забудьте вовремя оплатить расшифровку. Постоянным клиентам — скидки. Бюджетным организациям — техподдержка.

Оставить мнение