Еще минувшей весной исследователи Malwarebytes сообщали, что шифровальщик Cerber сумел захватить лидерство на черном рынке, и это произошло во многом благодаря переходу малвари на модель RaaS (Ransomware-as-a-Service) и регулярным появлениям новых версий. К примеру, в этом году малварь научилась скрывать свое присутствие от антивирусных продуктов, в том числе от тех, которые используют машинное обучение для идентификации угроз.

Согласно отчету Malwarebytes, в первом квартале 2017 года Cerber принадлежало 90% рынка шифровальщиков, и этот показатель очень близок к абсолютному рекорду TeslaCrypt, установленному в мае 2016 года.

Теперь специалисты компании Trend Micro сообщили о появлении новой версии Cerber, которая не только шифрует файлы жертв и вымогает у пострадавших выкуп в размере 300-600 долларов США, но также похищает криптовалюту и пароли от кошельков.

Исследователи пишут, что Cerber по-прежнему распространяется через вредоносные почтовые вложения, однако теперь вымогатель не сразу приступает к шифрованию файлов на зараженной машине. Вначале малварь ищет признаки криповалютных кошельков Bitcoin Core, Electrum и Multibit и в случае успеха похищает связанные с приложениями файлы wallet.dat (Bitcoin), *.wallet (Multibit) и electrum.dat (Electrum).

Фишинговое письмо, содержащее Cerber

Эти файлы сами по себе не позволят преступникам похитить чужую криптовалюту, еще им понадобится пароль для доступа к кошельку. Более того, специалисты отмечают, что Electrum  не использует electrum.dat с 2013 года. Но помимо данных о кошельках Cerber ворует и сохраненные пароли из Internet Explorer, Google Chrome и Mozilla Firefox.

Переслав на сервер злоумышленников информацию о криптовалютных кошельках и украденные пароли, Cerber удаляет с зараженного компьютера все файлы, связанные с кошельками, а затем приступает к обычному процессу шифрования данных.

Аналитики Trend Micro отмечают, что авторы малвари, очевидно, ищут новые способы монетизации своего «продукта», и совсем неудивительно, что они при этом обратили свое внимание на криптовалюту.



2 комментария

  1. Il

    09.08.2017 at 20:14

    Некоторым легитимным сервисам бы поучиться такому сервису

    • john_

      11.08.2017 at 08:50

      Все ещё остаётся открытым вопрос. ПОЧЕМУ БЛ#%* ГУГЛ НИЧЕГО НЕ ДЕЛАЕТ ДЛЯ ЗАЩИТЫ ЛОКАЛЬНЫХ ДАННЫХ. Все что хочешь может получить доступ к хранилищу паролей. Да, круто, я могу шифровать пароли с помощью кодовой фразы для синхронизации. А локально шифровать… зачем? Действительно… 🤦🏻‍♂️

Оставить мнение