Еще минувшей весной исследователи Malwarebytes сообщали, что шифровальщик Cerber сумел захватить лидерство на черном рынке, и это произошло во многом благодаря переходу малвари на модель RaaS (Ransomware-as-a-Service) и регулярным появлениям новых версий. К примеру, в этом году малварь научилась скрывать свое присутствие от антивирусных продуктов, в том числе от тех, которые используют машинное обучение для идентификации угроз.
Согласно отчету Malwarebytes, в первом квартале 2017 года Cerber принадлежало 90% рынка шифровальщиков, и этот показатель очень близок к абсолютному рекорду TeslaCrypt, установленному в мае 2016 года.
Теперь специалисты компании Trend Micro сообщили о появлении новой версии Cerber, которая не только шифрует файлы жертв и вымогает у пострадавших выкуп в размере 300-600 долларов США, но также похищает криптовалюту и пароли от кошельков.
Исследователи пишут, что Cerber по-прежнему распространяется через вредоносные почтовые вложения, однако теперь вымогатель не сразу приступает к шифрованию файлов на зараженной машине. Вначале малварь ищет признаки криповалютных кошельков Bitcoin Core, Electrum и Multibit и в случае успеха похищает связанные с приложениями файлы wallet.dat (Bitcoin), *.wallet (Multibit) и electrum.dat (Electrum).
Эти файлы сами по себе не позволят преступникам похитить чужую криптовалюту, еще им понадобится пароль для доступа к кошельку. Более того, специалисты отмечают, что Electrum не использует electrum.dat с 2013 года. Но помимо данных о кошельках Cerber ворует и сохраненные пароли из Internet Explorer, Google Chrome и Mozilla Firefox.
Переслав на сервер злоумышленников информацию о криптовалютных кошельках и украденные пароли, Cerber удаляет с зараженного компьютера все файлы, связанные с кошельками, а затем приступает к обычному процессу шифрования данных.
Аналитики Trend Micro отмечают, что авторы малвари, очевидно, ищут новые способы монетизации своего «продукта», и совсем неудивительно, что они при этом обратили свое внимание на криптовалюту.
