Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв.
Глава 2: Cerber
Благодаря всей имеющейся у нас информации, можно легко фильтровать такого рода данные. За последние 3 месяца было заблокировано свыше 3000 попыток заражений, которые использовали PowerShell для скачивания и загрузки вредоносной программы (шифровальщика):
Бегло пробежавшись, хочется сказать, что это Cerber, хотя там могут быть различные семейства шифровальщиков (т.к. мы блокируем все инфекции, нам не нужно проверять каждый двоичный код за исключением тех случаев, когда это требуется в исследовательских целях). Большинство таких атак произошло в первые недели июля. Если мы вернемся назад в октябрь прошлого года, то сможем увидеть, что фактически это самая большая волна заражений, использующих данную технику за последние 10 месяцев:
Были случайно выбраны несколько хэшей среди множества тысяч хэшей, которые мы блокируем, в случае, если Вы хотите «поиграть» с ними в своей лаборатории и защитить Ваших пользователей:
Другой, достаточно актуальный в наши дни способ выполнить вредоносную программу для заражения жертв с помощью Cerber – через WMIC, версию Windows Management Instrumentation (WMI) для командной строки. До сих пор все случаи, которые мы наблюдали, происходили через эксплойты на компьютерах с Internet Explorer. Образец вредоносной программы скачивается на компьютер, и вместо того, чтобы выполнять его сразу, использует WMIC для его выполнения (таким образом, осуществляется попытка придать легальный характер поведения, т.к. WMIC – это невредоносная программа, которая принадлежит операционной системе Windows). За последние 4 недели мы заблокировали еще свыше 3000 попыток заражения, использующих подобный «трюк»:
Автор статьи: Луис Корронс
Panda Security в России
Вот еще выборка некоторых хэшей шифровальщиков, использующих этот прием с WMIC, которые мы остановили в течение 3 дней:
Оставайтесь с нами до следующей главы Сказок Ransomwhere !
Автор статьи: Луис Корронс
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com