Trend Micro обнаружили новую версию вымогателя Cerber - Cerber 3.0

Недавно стало известно о появлении новой версии вымогателя Cerber. Распространяется этот зловред при помощи наборов эксплоитов Magnitude и RIG.

В результате наблюдения в течение нескольких месяцев за вредоносной кампанией, исследователи обнаружили новый вариант зловреда Cerber. Cerber 3.0 мало чем отличается от предыдущих версий, однако добавляет другое расширение к зашифрованным файлам и отображает пользователям другую записку с требованием выкупа.

Согласно TrendMicro, Cerber 3.0 появился в последние несколько месяцев вместе с вредоносной кампанией, затрагивающей пользователей по всему миру, но в основном нацеленной на Тайвань. В рамках этой кампании пользователи стали жертвой вредоносной рекламы во всплывающем окне. Это происходило при попытке посмотреть видео, пользователи кликали и перенаправлялись на страницу с набором экплоитов.

Magnitude использует простой скрипт редиректа, в то время как RIG открывает в фоне легитимный сайт американской одежды, чтобы выглядеть менее подозрительно. В последнее время RIG внедряет новые методы заражения в попытке избежать обнаружения.

Исследователи Trend Micro утверждают, что после попадания на компьютер пользователя и Magnitude и RIG устанавливают Cerber 3.0.

После попадания в систему Cerber 3.0. начинает шифровать файлы пользователя, добавляя к ним расширение .cerber3. После завершения шифрования вымогатель ищет теневые копии и удаляет их, чтобы пользователь не мог восстановить свои файлы, используя эту функцию.

Так же, как и предыдущие варианты этого шифровальщика, новая версия воспроизводит звуковой файл, чтобы информировать пользователя о том ,что его файлы зашифрованы.

Стоит отметить, что цена за восстановление файлов упала с 1.24 Bitcoin до 1 BTC, это отражает "постоянно меняющийся курс Bitcoins," говорят исследователи. В случае, если жертва не в состоянии заплатить выкуп в течение первых пяти дней, сумма удваивается.