В дикой природе попался Cerber 5.0

Исследователь Брайан Кэмпбелл (Bryan Campbell) заметил в дикой природе новый вариант грозного зловреда Cerber. Cerber 5.0 распространяет через эксплойт-киты RIG-V, которые позволяют установить вымогатель на компьютер без ведома пользователя, если последний зайдет на зараженный вредоносной рекламой веб-сайт. Есть вероятность, что Cerber 5.0 также распространяется через вредоносный спам, но пока исследователям не попалось в руки ни одного подобного письма.

Чуть ранее, в октябре, Cerber обрел ряд новшеств: Windows-блокер научился менять расширения шифрованных файлов с .cerber3 на четыре произвольных символа, использовать формат HTA для файлов с требованием выкупа и добавлять директивы close_process, позволяющей завершать некоторые процессы базы данных перед шифрованием.

ИБ-исследователь BloodDolly сообщил об очередных обновлениях Cerber в пятой версии, в том числе о способности шифровальщика пропускать 640, а не 512 байт при шифровании. Также минимальный размер файла, подлежащего шифрованию, составляет 2560 байт (в прошлой версии порог составлял 1024 байта). Для отправки статистических UDP-пакетов теперь используются IP-адреса из диапазонов 63.55.11.0/27, 15.93.12.0/27, 194.165.16.0/22.

Кроме того, исследователь Марсело Риверо (Marcelo Rivero) уже встретил itw Cerber 5.0.1. Все указывает на то, что результативный зловред будет еще долго досаждать пользователям.