Trend Micro обнаружила новую версию известного вредоносного ПО Cerber, шифрующего файлы на зараженном компьютере. Модификации, внесённые в загрузчик, позволяют программе избегать внимания эвристических антивирусных инструментов, использующих машинное обучение для выявления неизвестного вредоносного кода. Тем не менее, отмечают исследователи, вредоносную программу могут обнаружить защитные решения, использующие разнообразные техники и не слишком полагающиеся на машинное обучение.

Как и прочие вымогательские программы, обновленная Cerber распространяется посредством фишинговых e-mail, побуждающих получателя нажать на ссылку, однако при этом из контролируемой мошенниками папки Dropbox загружается не исполняемый файл, а самораспаковывающийся архив. Он включает три файла: VBS-скрипт, DLL-файл и конфигурационный файл. Последний содержит различные настройки конфигурации, а также загрузчик, который проверяет, находится ли он в виртуальной машине или в «песочнице», какие инструменты анализа и антивирусы запущены на компьютере жертвы. По словам специалистов Trend Micro, структура всех самораспаковывающихся файлов похожа независимо от их содержимого и не выглядит вредоносной, поэтому не вызывают подозрения у защитных решений.

Cerber впервые был обнаружен в начале 2016 г. Помимо шифрования файлов вымогатель проговаривает требования выкупа вслух. Первая его атака началась 22 июня прошлого года и продолжалась больше суток. Жертвами злоумышленников стали миллионы корпоративных пользователей Office 365.

Об атаке стало известно благодаря компании Avanan, которая специализируется на защите пользователей облачных технологий (часть пострадавших была её клиентами). Она утверждала, что традиционные антивирусные приложения не заметили ничего подозрительного, потому что распространение трояна происходило через облачные, а не обычные почтовые приложения.

Затем разработчики Cerber выпустили программу Alfa. Вымогатель с таким названием появился в мае и для него был создан дешифратор. Разработчики Alfa в качестве выкупа запрашивали 1 биткоин (около 650 долл.).

Аналитики пишут, что простые и самораспаковывающиеся файлы представляют собой проблему для механизмов обнаружения на основе машинного обучения. Все они выглядят одинаковыми независимо от содержимого. Для противодействия подобным угрозам в будущем эксперты TrendLabs рекомендуют не ограничиваться эвристической защитой и использовать многоуровневый подход к обеспечению безопасности, распространяющийся на шлюзы, конечное оборудование, сеть и серверы, и стандартные практики защиты:

  • отключить макросы во всех программах Microsoft Office;
  • не открывать письма, отправленные из незнакомых источников;
  • установить и регулярно обновлять антивирусное ПО;
  • установить последние исправления системы безопасности ОС;
  • регулярно делайте резервное копирование файлов, чтобы свести к минимуму потери в случае заражения.

Эти действия не только защитят пользователя от конкретного вымогателя, но и от других подобных программ и распространенных угроз.