Nagy gyomrost kaptak a víruskeresők
A Cerber zsaroló program teljes mértékben képes átejteni a régi víruskereső technikákat. A károkozó ugyanis 15 másodpercenként megújul.A Cerber zsaroló program idén tavasszal nagyon gyors ütemben kezdett terjedni. Oly annyira, hogy mostanra a ransomware toplista harmadik helyére küzdötte fel magát. Csak olyan hírhedt kártevők előzik meg, mint a CryptoWall és a Locky. A Fortinet legfrissebb felmérése szerint a zsaroló programok ranglistáját 41 százalékos részesedéssel vezeti a CryptoWall, amit a második helyen lévő Locky 34 százalékkal követ. A Cerber jelenleg 24 százalékos részesedéssel rendelkezik, de ez folyamatosan emelkedik. Ráadásul semmi jele annak, hogy a károkozó terjedésének sikerülne gátat szabni, és úgy tűnik, hogy a készítői sem kívánnak visszavonulót fújni. Töretlenül fejlesztik a roppant ártalmas szerzeményüket, és az ahhoz tartozó háttérinfrastruktúrát.
A trükk
Az már viszonylag régi technikának számít a vírusírók körében, hogy a kártékony kódjaikat rendszeresen változtatják annak érdekében, hogy a víruskeresőkön minél kisebb valószínűséggel akadjanak fent. Az elmúlt időszakban a Cerber is folyamatosan változott, ezért az antivírus fejlesztő cégektől is gyors reakciókra volt szükség ahhoz, hogy felkészítsék a védelmi szoftvereiket a károkozó detektálására. Most azonban a szignatúrákra épülő, különösen a fájlokból képzett hash értékek alapján működő védelmek teljesen csődöt mondtak a Cerber új trükkje miatt.
Az Invincea biztonsági kutatóinak tűnt fel először, hogy valami nagyon nincs rendben a Cerber háza táján. Az történt ugyanis, hogy amikor egy fertőzött számítógépre akadtak, és meg akarták ismételni a fertőzési folyamatot, akkor egész egyszerűen nem tudták produkálni azt, hogy az eredeti Cerber kód rákerüljön a vizsgálatba bevont rendszere. A letöltődő kód (payload) mindig kicsit másként nézett ki, és más hash kódok adódtak hozzá. A kutatók ekkor jöttek rá, hogy a szerveren a Cerber kódja 15 másodpercenként megváltozik, így rövid időn belül több tucat különféle payloadot sikerült begyűjteniük.
Így fertőz a károkozó
A Cerber alapvető fertőzési mechanizmusa nem új keletű. A károkozó ártalmas Office dokumentumok, elsősorban Word fájlok révén terjed. Amikor a felhasználó ezt megnyitja (például egy e-mail mellékleteként), akkor a megjelenő dokumentum a makrók engedélyezését kéri. Ha ennek a kérésnek eleget tesz a felhasználó, akkor egy Base64 kódolással ellátott script fut le PowerShell segítségével. Ez letölti a Cerber károkozáshoz szükséges - gyorsan változó - kódját egy távoli vezérlőszerverről. Ettől kezdve pedig a már ismert mechanizmusok lépnek életbe, vagyis megkezdődik a fájlok titkosítása és a felhasználó megzsarolása.
Mit tehetünk?
Attól még, hogy a Cerber a hash alapú védelmi megoldásoknak egy elég komoly gyomrost adott, még nem lehetetlen az ellene való védekezés. A korszerű víruskeresők számos más technika révén is kiszűrhetik a szerzeményt. A rendszeres biztonsági frissítésekkel pedig befoltozhatók azok a sebezhetőségek, amik vírusterjesztést szolgálhatnak. Emellett természetesen nagyon lényegesek a rendszeresen elvégzett biztonsági mentések.
A legfontosabb pedig, hogy az ismeretlen, gyanús dokumentumokat soha ne nyissuk meg, és főleg ne engedélyezzük a makrók futtatását. Ha elég óvatosak vagyunk, akkor a Cerber jelenlegi variánsainak méregfogát mi magunk is könnyedén kihúzhatjuk.
-
A Nessus Network Monitor kapcsán négy hibajavítás vált elérhetővé.
-
A Cico az IP telefonjaihoz három hibát javító frissítést tett közzé.
-
Az ArobaOS-hez fontos biztonsgi frissítés érkezett.
-
A Google egy veszélyes biztonsági rést foltozott be a ChromeOS-en.
-
A Google két veszélyes hibát orvosolt Chrome böngészőben.
-
A SonicWall két sebezhetőséget javított a GMS kapcsán.
-
A Citrix a virtualizációs megoldásaihoz fontos frissítéseket tett közzé.
-
A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.
-
A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.