Cerber 6 Ransomware: Sửa đổi mã hóa và có tính năng phòng thủ chống sandbox và chống AV

Cập nhập 04/08/2017:

Một bản cập nhập cho Cerber ransomware cho phép nó để thu thập và ăn cắp dữ liệu từ máy tính của nạn nhân, tương tự như một infostealer, cụ thể là ăn cắp mật khẩu được lưu trữ của trình duyệt Internet Explorer, Google Chrome và Mozilla Firefox. Ngoài ra Cerber ransomware còn có thể lấy cắp dữ liệu liên quan đến ví Bitcoin (Wallet Bitcoin) như đánh cắp các tệp tin có tên wallet.dat (được sử dụng bởi ví tiền chính thức của Bitcoin Core), * .letlet (được sử dụng bởi ứng dụng ví Multibit) và electrum.dat (được ứng dụng bởi ví Electrum Wallet).

Thông thường mật khẩu lưu trong trình duyệt của người dùng sẽ hữu ích trong việc  quản lý các tài khoản trực tuyến, nhưng dữ liệu ví tiền Bitcoin có thể rất khó khăn và không được giúp đỡ.

Cerber không phải là ransomware đầu tiên với tính năng infostealer. Trong quá khứ, Kriptovor ransomware, được phát hiện vào tháng 4 năm 2015 đã có tính năng infostealer. Một năm sau đó, CryptXXX ransomware cũng hỗ trợ thêm cho việc đánh cắp dữ liệu của ví tiền Bitcoin.


Bản tin 03/05/2017:

Các nhà nghiên cứu bảo mật đã phát hiện ra phiên bản 6 dòng ransomware Cerber, phiên bản mới này bổ sung thêm các tính năng mới như các quy trình mã hóa file được sửa lại, cùng với các cơ chế phòng thủ cho phép Cerber 6 cũng có thể tránh được khả năng nhận diện các công cụ phân tích phần mềm độc hại, các môi trường ảo hóa, vượt tường lửa của Windows hoặc phần mềm diệt virus, hoặc cho phép cerber 6 có thể trốn thoát (bằng cách tự hủy hoại). Hơn nữa, Cerber 6 cũng đã bỏ qua việc thực hiện các thuật toán RSA và RC4 trong quá trình mã hóa của nó trong giao diện lập trình ứng dụng mật mã (Cryptographic Application Programming Interface - CryptoAPI). Điều này làm tăng thêm sự phức tạp tổng thể mà dòng ransomware này đang thống trị vì giờ đây, Cerber Ransomware khẳng định đã tiến xa và là mối đe dọa tinh vi nhất.

Đây là phần mềm độc hại đang tạo ra hàng triệu đô la doanh thu cho các nhà khai thác và phát triển, đặc biệt là vì nó được phân phối như ransomware-as-a-service. Trong hơn một năm nay, Cerber đã là một mối đe dọa liên tục, leo lên đỉnh cao của biểu đồ ransomware, trong quý I năm 2017, nó chiếm khoảng 87% các cuộc tấn công ransomware, đó là một thống kê đáng sợ.

Xem thêm: Cerber đoạt ngôi vương về Ransomeware trong Quý I năm 2017

 Những tính năng này, được thêm vào sau khi Cerber 4 và Cerber 5 cũng có nhiều cải tiến, cho thấy giá trị gia tăng này vẫn tiếp tục tăng là do sự thành công về tài chính mà Locky đã bị đóng băng trong thời gian qua.
Giống như trước đây, ransomware này vẫn dựa vào các chiến dịch spam khổng lồ để tiếp cận nạn nhân. 


Phương thức lây nhiễm của Cerber Phiên bản 6. 


Email thư rác chứa mẫu Cerber 6.


Cerber 6 sử dụng Windows Management Interface để kiểm tra các sản phẩm bảo mật được cài đặt trong hệ thống.



Cerber 6 truy xuất các tệp tin exe của các sản phẩm bảo mật và tạo ra một quy tắc tường lửa để chặn lưu lượng truy cập. 


Trong Cerber 6, tệp được đọc và các nội dung được mã hóa bằng CryptEncrypt sau đó được ghi lại. 


Các chuỗi mã trong giấy báo đòi tiền chuộc của Cerber 6 trực tuyến để phát hiện ngôn ngữ địa phương.

Lời khuyên: Trong bối cảnh Ransomware phát triển mạnh thì việc giữ cho các hệ thống luôn được cập nhậtthận trọng trước các email , thường xuyên sao lưu các tập tin quan trọng và xây dựng một nền văn hoá an ninh không gian mạng tại nơi làm việc là một trong những phương pháp tốt nhất để phòng chống Ransomware.

0 Bình luận
0906009345