Nova verzija opasnog ransomwarea Cerber se širi po Evropi i Aziji, za žrtve još uvek nema rešenja

Opisi virusa, 23.12.2016, 11:30 AM

Nova verzija opasnog ransomwarea Cerber se širi po Evropi i Aziji, za žrtve još uvek nema rešenja

Najnovija verzija poznatog ransomwarea Cerber ponaša se nešto drugačije od prethodnih verzija - Cerber sada ne briše shadow volume kopije, i daje prioritet određenim folderima dok ostale ignoriše.

Novu verziju ransomwarea otkio je Microsoftov Centar za zaštitu od malvera koji je zajedno sa Heimdal Security otkrio da se nova verzija ransomwarea trenutno širi pomoću exploit alata i neželjene elektronske pošte.

Najveća promena je to što Cerber više ne briše shadow volume kopije pa tako žrtavama ostaje mogućnost da vrate makar mali broj fajlova pomoću posebnog softvera.

Nije jasno zašto je došlo do ovih promena, ali je izvesno da su one primećene samo u najnovijoj verziji malvera, što ne znači da će opstati u budućim verzijama.

Cerber sada daje prioritet određenim folderima u kojima se nalaze Office dokumenti i Bitcoin podaci.

Još jedna promena je da je spisak izuzetih foldera duži jer su oni koji stoje iza ransomwarea Cerber odlučili da neki folderi ne vrede dovoljno da bi fajlov u njima bili šifrovani.

Osim ovoga, došlo je do promene i u listi fajlova koje šifruje Cerber. Najnovija verzija Cerbera ne šifruje više .bat, .cmd, .com, cpl, .dll, .exe, .hta, .msc, .msi, msp, .pif, .scf, scr i .sys fajlove.

Ali Cerber sada šifruje 50 drugih vrsta fajlova, ukupno, 493 vrsta fajlova.

Osim ovih promena, drugih novosti nema. Cerber je i dalje pretnja za koju nema rešenja.

I dok većina drugih malvera pokazuje manju aktivnost u vreme praznika, grupa koja stoji iza Cerbera je izgleda veoma zauzeta i angažovana u različitim kampanjama distribucije ovog malvera.

Prošle nedelje zabeležen je veliki talas spam emailova sa lažnim izveštajima o kreditnim karticama.

Distribucija Cerbera je i dalje veoma intenzivna. Prema rečima stručnjaka Heimdal Security, grupa koja stoji iza ovog ransomwarea sada koristi kompromitovane web sajtove. Hakovani web sajtovi su deo kampanje Pseudo Darkleech, u kojoj se u kompromitovane sajtove ubacuju skripte, koje preusmeravaju korisnike na exploit alate koji pak koriste slabosti Internet Explorera, Microsoft Edgea, Flash Playera i Silverlighta da bi inficirali računare posetilaca malverom Nemucod.

Nemucod je generički downloader prvog stepena, koji u ovom slučaju kasnije preuzima Cerber.

Prema rečima stručnjaka Heimdal Security, ova kampanja trenutno prolazi neopaženo, sa veoma malim stopama detekcije kada su u pitanju antivirusi VirusTotala.

Microsoftov Centar za zaštitu od malvera izveštava o još jednoj kampanji distribucije Cerbera u kojoj se koristi exploit alat RIG koji koristi bezbednosni propust CVE-2015-8651 u neažuriranim Adobe Flash Player instalacijama. Ovaj propust omogućava kriminalcima da automatski instaliraju i pokrenu Cerber. Prema podacima Microsofta, ova kampanja je veoma uspešna u pogledu broja inficiranih računara u Evropi i Aziji.

Osim ove dve kampanje, grupa koja je odgovorna za širenje ransomwarea Cerber se oslanja i na uobičajeno slanje spam poruka kao što su one sa lažnim izveštajima o kreditnim karticama. Korisnici koji preuzmu i otvore fajlove u emailovima, inficiraće svoje računare.

Aktuelna je spam kampanja sa emailovima koji sadrže atačmente zaštćene lozinkom, sa lozinkom koja se nalazi u emailu. Sajber kriminalci ovako izbegavaju skenere koji ne mogu da vide sadržaj lozinkom zaštićenih fajlova. Fajl koji preuzmu korisnici je tipičan macro malver koji traži od korisnika da dozvole pokretanje maliciozne macro skripte. Ako korisnik dozvoli, macro malver će preuzeti i instalirati Cerber. Ova kampanja koja je nazvana Donoff je poslednjih dana intenzivirana.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje