Аналитики компании Trend Micro сообщают о появлении нового варианта шифровальщика Cerber. Этот образчик отличается от предыдущих версий и другой подобной малвари необычной особенностью: он не трогает файлы антивирусов, файрволов и других подобных продуктов, никак не препятствуя их работе.
Новая версия, которая в классификации Trend Micro проходит под идентификатором RANSOM_CERBER.F117AK, была замечена еще 20 января 2017 года. С тех пор эксперты пытаются понять, чем обусловлено странное поведение малвари. Как правило, вредоносы стараются вывести защитные решения из строя, или же предпочитают с ними не связываться и сворачивают работу, обнаружив на зараженной машине тот или иной антивирусный продукт. Однако у нового образца Cerber антивирусы и файрволы прописаны в «белом списке», то есть вымогатель вообще не шифрует файлы этих приложений. Для этих целей Cerber задействует Windows Management Interface (WMI).
Исследователи предполагают, что защитное ПО попало в список исключений по тем же причинам, по которым в исключениях ранее оказались EXE- и DLL-файлы, а также приложения из папки Program Files.
«Могу предположить, что это связано с тем, что антивирусам не нравится, когда что-то изменяет файлы в их собственных директориях. Хотя у большинства жертв Cerber антивируса либо нет, либо установлено что-то не очень хорошее», — говорит независимый исследователь MalwareHunter, который так же изучил новую версию вредоноса.