Аналитики компании Trend Micro сообщают о появлении нового варианта шифровальщика Cerber. Этот образчик отличается от предыдущих версий и другой подобной малвари необычной особенностью: он не трогает файлы антивирусов, файрволов и других подобных продуктов, никак не препятствуя их работе.

Новая версия, которая в классификации Trend Micro проходит под идентификатором RANSOM_CERBER.F117AK, была замечена еще 20 января 2017 года. С тех пор эксперты пытаются понять, чем обусловлено странное поведение малвари. Как правило, вредоносы стараются вывести защитные решения из строя, или же предпочитают с ними не связываться и сворачивают работу, обнаружив на зараженной машине тот или иной антивирусный продукт. Однако у нового образца Cerber антивирусы и файрволы прописаны в «белом списке», то есть вымогатель вообще не шифрует файлы этих приложений. Для этих целей Cerber задействует Windows Management Interface (WMI).

Исследователи предполагают, что защитное ПО попало в список исключений по тем же причинам, по которым в исключениях ранее оказались EXE- и DLL-файлы, а также приложения из папки Program Files.

«Могу предположить, что это связано с тем, что антивирусам не нравится, когда что-то изменяет файлы в их собственных директориях. Хотя у большинства жертв Cerber антивируса либо нет, либо установлено что-то не очень хорошее», — говорит независимый исследователь MalwareHunter, который так же изучил новую версию вредоноса.

Оставить мнение

Check Also

Промежуточные сертификаты позволяют следить за пользователями Firefox

Исследователь Александр Клинк установил, что промежуточные сертификаты можно использовать …