Nova verzija opasnog ransomwarea Cerber se širi po Evropi i Aziji, za žrtve još uvek nema rešenja

Opisi virusa, 23.12.2016, 11:30 AM

Najnovija verzija poznatog ransomwarea Cerber ponaša se nešto drugačije od prethodnih verzija - Cerber sada ne briše shadow volume kopije, i daje prioritet određenim folderima dok ostale ignoriše.

Novu verziju ransomwarea otkio je Microsoftov Centar za zaštitu od malvera koji je zajedno sa Heimdal Security otkrio da se nova verzija ransomwarea trenutno širi pomoću exploit alata i neželjene elektronske pošte.

Najveća promena je to što Cerber više ne briše shadow volume kopije pa tako žrtavama ostaje mogućnost da vrate makar mali broj fajlova pomoću posebnog softvera.

Nije jasno zašto je došlo do ovih promena, ali je izvesno da su one primećene samo u najnovijoj verziji malvera, što ne znači da će opstati u budućim verzijama.

Cerber sada daje prioritet određenim folderima u kojima se nalaze Office dokumenti i Bitcoin podaci.

Još jedna promena je da je spisak izuzetih foldera duži jer su oni koji stoje iza ransomwarea Cerber odlučili da neki folderi ne vrede dovoljno da bi fajlov u njima bili šifrovani.

Osim ovoga, došlo je do promene i u listi fajlova koje šifruje Cerber. Najnovija verzija Cerbera ne šifruje više .bat, .cmd, .com, cpl, .dll, .exe, .hta, .msc, .msi, msp, .pif, .scf, scr i .sys fajlove.

Ali Cerber sada šifruje 50 drugih vrsta fajlova, ukupno, 493 vrsta fajlova.

Osim ovih promena, drugih novosti nema. Cerber je i dalje pretnja za koju nema rešenja.

I dok većina drugih malvera pokazuje manju aktivnost u vreme praznika, grupa koja stoji iza Cerbera je izgleda veoma zauzeta i angažovana u različitim kampanjama distribucije ovog malvera.

Prošle nedelje zabeležen je veliki talas spam emailova sa lažnim izveštajima o kreditnim karticama.

Distribucija Cerbera je i dalje veoma intenzivna. Prema rečima stručnjaka Heimdal Security, grupa koja stoji iza ovog ransomwarea sada koristi kompromitovane web sajtove. Hakovani web sajtovi su deo kampanje Pseudo Darkleech, u kojoj se u kompromitovane sajtove ubacuju skripte, koje preusmeravaju korisnike na exploit alate koji pak koriste slabosti Internet Explorera, Microsoft Edgea, Flash Playera i Silverlighta da bi inficirali računare posetilaca malverom Nemucod.

Nemucod je generički downloader prvog stepena, koji u ovom slučaju kasnije preuzima Cerber.

Prema rečima stručnjaka Heimdal Security, ova kampanja trenutno prolazi neopaženo, sa veoma malim stopama detekcije kada su u pitanju antivirusi VirusTotala.

Microsoftov Centar za zaštitu od malvera izveštava o još jednoj kampanji distribucije Cerbera u kojoj se koristi exploit alat RIG koji koristi bezbednosni propust CVE-2015-8651 u neažuriranim Adobe Flash Player instalacijama. Ovaj propust omogućava kriminalcima da automatski instaliraju i pokrenu Cerber. Prema podacima Microsofta, ova kampanja je veoma uspešna u pogledu broja inficiranih računara u Evropi i Aziji.

Osim ove dve kampanje, grupa koja je odgovorna za širenje ransomwarea Cerber se oslanja i na uobičajeno slanje spam poruka kao što su one sa lažnim izveštajima o kreditnim karticama. Korisnici koji preuzmu i otvore fajlove u emailovima, inficiraće svoje računare.

Aktuelna je spam kampanja sa emailovima koji sadrže atačmente zaštćene lozinkom, sa lozinkom koja se nalazi u emailu. Sajber kriminalci ovako izbegavaju skenere koji ne mogu da vide sadržaj lozinkom zaštićenih fajlova. Fajl koji preuzmu korisnici je tipičan macro malver koji traži od korisnika da dozvole pokretanje maliciozne macro skripte. Ako korisnik dozvoli, macro malver će preuzeti i instalirati Cerber. Ova kampanja koja je nazvana Donoff je poslednjih dana intenzivirana.