Nova verzija opasnog ransomwarea Cerber se širi po Evropi i Aziji, za žrtve još uvek nema rešenja

Opisi virusa, 23.12.2016, 11:30 AM

Nova verzija opasnog ransomwarea Cerber se širi po Evropi i Aziji, za žrtve još uvek nema rešenja

Najnovija verzija poznatog ransomwarea Cerber ponaša se nešto drugačije od prethodnih verzija - Cerber sada ne briše shadow volume kopije, i daje prioritet određenim folderima dok ostale ignoriše.

Novu verziju ransomwarea otkio je Microsoftov Centar za zaštitu od malvera koji je zajedno sa Heimdal Security otkrio da se nova verzija ransomwarea trenutno širi pomoću exploit alata i neželjene elektronske pošte.

Najveća promena je to što Cerber više ne briše shadow volume kopije pa tako žrtavama ostaje mogućnost da vrate makar mali broj fajlova pomoću posebnog softvera.

Nije jasno zašto je došlo do ovih promena, ali je izvesno da su one primećene samo u najnovijoj verziji malvera, što ne znači da će opstati u budućim verzijama.

Cerber sada daje prioritet određenim folderima u kojima se nalaze Office dokumenti i Bitcoin podaci.

Još jedna promena je da je spisak izuzetih foldera duži jer su oni koji stoje iza ransomwarea Cerber odlučili da neki folderi ne vrede dovoljno da bi fajlov u njima bili šifrovani.

Osim ovoga, došlo je do promene i u listi fajlova koje šifruje Cerber. Najnovija verzija Cerbera ne šifruje više .bat, .cmd, .com, cpl, .dll, .exe, .hta, .msc, .msi, msp, .pif, .scf, scr i .sys fajlove.

Ali Cerber sada šifruje 50 drugih vrsta fajlova, ukupno, 493 vrsta fajlova.

Osim ovih promena, drugih novosti nema. Cerber je i dalje pretnja za koju nema rešenja.

I dok većina drugih malvera pokazuje manju aktivnost u vreme praznika, grupa koja stoji iza Cerbera je izgleda veoma zauzeta i angažovana u različitim kampanjama distribucije ovog malvera.

Prošle nedelje zabeležen je veliki talas spam emailova sa lažnim izveštajima o kreditnim karticama.

Distribucija Cerbera je i dalje veoma intenzivna. Prema rečima stručnjaka Heimdal Security, grupa koja stoji iza ovog ransomwarea sada koristi kompromitovane web sajtove. Hakovani web sajtovi su deo kampanje Pseudo Darkleech, u kojoj se u kompromitovane sajtove ubacuju skripte, koje preusmeravaju korisnike na exploit alate koji pak koriste slabosti Internet Explorera, Microsoft Edgea, Flash Playera i Silverlighta da bi inficirali računare posetilaca malverom Nemucod.

Nemucod je generički downloader prvog stepena, koji u ovom slučaju kasnije preuzima Cerber.

Prema rečima stručnjaka Heimdal Security, ova kampanja trenutno prolazi neopaženo, sa veoma malim stopama detekcije kada su u pitanju antivirusi VirusTotala.

Microsoftov Centar za zaštitu od malvera izveštava o još jednoj kampanji distribucije Cerbera u kojoj se koristi exploit alat RIG koji koristi bezbednosni propust CVE-2015-8651 u neažuriranim Adobe Flash Player instalacijama. Ovaj propust omogućava kriminalcima da automatski instaliraju i pokrenu Cerber. Prema podacima Microsofta, ova kampanja je veoma uspešna u pogledu broja inficiranih računara u Evropi i Aziji.

Osim ove dve kampanje, grupa koja je odgovorna za širenje ransomwarea Cerber se oslanja i na uobičajeno slanje spam poruka kao što su one sa lažnim izveštajima o kreditnim karticama. Korisnici koji preuzmu i otvore fajlove u emailovima, inficiraće svoje računare.

Aktuelna je spam kampanja sa emailovima koji sadrže atačmente zaštćene lozinkom, sa lozinkom koja se nalazi u emailu. Sajber kriminalci ovako izbegavaju skenere koji ne mogu da vide sadržaj lozinkom zaštićenih fajlova. Fajl koji preuzmu korisnici je tipičan macro malver koji traži od korisnika da dozvole pokretanje maliciozne macro skripte. Ako korisnik dozvoli, macro malver će preuzeti i instalirati Cerber. Ova kampanja koja je nazvana Donoff je poslednjih dana intenzivirana.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje