Trend Micro: Все дешифраторы для вымогателя Cerber теперь бесполезны
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Trend Micro: Все дешифраторы для вымогателя Cerber теперь бесполезны

Олег Иванов 08 Августа 2016 - 14:48
...
Trend Micro: Все дешифраторы для вымогателя Cerber теперь бесполезны

Обновленная версия вымогателей семейства Cerber присваивает зашифрованным файлам новое расширение и делает бесполезными утилиты-дешифраторы. Новый вариант шифровальщика был обнаружен исследователем Trend Micro panicall, который показал, что вредонос теперь добавляет расширение .cerber2 к зашифрованным файлам. Также появились и некоторые другие изменения, не столь очевидные.

Первоначально Cerber возник в начале марта и имел функционал, которым другие шифровальщики не обладали. Он запускал VBScript-код, упакованный в файл .vbs, в результате чего зараженный компьютер мог говорить с жертвой. Вредонос посылал Windows команду запуска в безопасном режиме с загрузкой сетевых драйверов, настраивал себя на загрузку при запуске системы и также на выполнение каждую минуту.

С марта Cerber был замечен в нескольких вредоносных кампаниях, и даже был связан с DDoS-атаками. В июне, когда распространение вымогателя Locky снизилось после того, как ботнет Necurs ушел в оффлайн, активность Cerber увеличилась. Чтобы избежать детектирования, Cerber видоизменяется каждые 15 секунд и нацелен, в основном, на пользователей Office 365.

В свое время экспертам удалось создать дешифратор для семейства Cerber, однако  в новой версии Cerber 2 устранены уязвимости, позволившие экспертам сделать это. Также новая версия включает всяческие улучшения, призванные помешать детектированию и анализу вредоноса.

Cerber 2 использует упаковщик, чтобы скрыть вредоносный код. Еще одним серьезным улучшением является использование Windows API CryptGenRandom для генерирования ключа шифрования. Новая версия использует 32-байтный ключ, в том время как предыдущая использовала 16-байтный.

Вымогатель также имеет черный список антивирусов в свое конфигурационном файле, включающий наиболее распространенные антивирусные решения на рынке. Также есть черный список стран, включающий Россию. Вредонос выполняет на системе ряд проверок: системный язык, страну, наличие виртуальной машины и ряд запущенных процессов.

Согласно BleepingComputer, есть также некоторые визуальные изменения в вымогателе, например, использование иконки из детской игры Anka. Также Cerber 2 меняет обои, которые уведомляют пользователя, что его «документы, фотографии, базы данных и другие важные файлы были зашифрованы».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Протекторы скрывают около 40% уязвимостей в Android-приложениях
Екатерина Быстрова 14 Ноября 2025 - 11:32
Android Уязвимости программ Домашние пользователиКорпорации Positive Technologies
Протекторы скрывают около 40% уязвимостей в Android-приложениях

Специалисты Positive Technologies провели исследование и выяснили, насколько протекторы помогают скрывать уязвимости и защитные механизмы в Android-приложениях. Для анализа использовали собственный сервис защиты от реверс-инжиниринга, который позволил оценить, как меняется доступность кода для анализа злоумышленниками.

Android остаётся самой распространённой мобильной платформой в мире — ей пользуются около 75% рынка, по данным Statcounter.

Открытость системы и свободный доступ к APK-файлам упрощают реверс-инжиниринг: раскрытие логики работы приложений, поиск ошибок, копирование функциональности и извлечение чувствительных данных.

В исследуемых приложениях специалисты обнаружили более 50 потенциальных уязвимостей разного уровня риска. После применения протектора количество обнаруживаемых ошибок снизилось примерно на 40%.

Наиболее заметное уменьшение пришлось на уязвимости высокого уровня риска — минус 67%. Уязвимостей со средним уровнем риска стало меньше на четверть, а дефектов, которые могли косвенно повлиять на безопасность, — почти на 80%.

Результат оказался разным для разных категорий приложений. Лидером по снижению числа видимых уязвимостей стали сервисы доставки еды — минус 46%. Далее идут приложения для путешествий и транспорта, а также маркетплейсы — по 38%. Примерно треть уязвимостей удалось скрыть в приложениях из сфер развлечений, телекоммуникаций, финансов и платежей.

Интересный эффект наблюдался и в области скрытия защитных техник. После применения протектора количество «видимых» мер безопасности, которые можно обнаружить с помощью сканера, сократилось на 67%. Это означает, что защитные механизмы стало сложнее распознать, а значит — сложнее заранее подготовить способы их обхода.

Также уменьшилось количество обнаруживаемых ключей доступа, токенов и других чувствительных данных — в среднем на 71%. Максимальный эффект наблюдался у приложений категории «Инструменты и утилиты».

По результатам анализа, использование техник защиты от запуска в виртуальных машинах оказалось скрыто в 98% случаев. Механизмы защиты от отладки — в 91%.

Для обфускации и защит от дизассемблирования снижение заметности было менее выраженным, на 32% и 21% соответственно.

Исследование показывает, что даже когда разработчики внедряют защитные механизмы, они могут быть распознаны при статическом анализе. Протекторы позволяют скрыть детали реализации и усложнить злоумышленникам задачу по изучению внутренней логики приложений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Авито и BI.ZONE ускорили блокировку фишинговых сайтов на четверть
Новость
Авито и BI.ZONE ускорили блокировку фишинговых сайтов на чет...
Приложение Л'Этуаль выводит из строя старые iPhone
Новость
Приложение Л'Этуаль выводит из строя старые iPhone
Как мошенники атакуют жителей новых регионов
Новость
Как мошенники атакуют жителей новых регионов

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.