Nagy gyomrost kaptak a víruskeresők

​A Cerber zsaroló program teljes mértékben képes átejteni a régi víruskereső technikákat. A károkozó ugyanis 15 másodpercenként megújul.
 

A Cerber zsaroló program idén tavasszal nagyon gyors ütemben kezdett terjedni. Oly annyira, hogy mostanra a ransomware toplista harmadik helyére küzdötte fel magát. Csak olyan hírhedt kártevők előzik meg, mint a CryptoWall és a Locky. A Fortinet legfrissebb felmérése szerint a zsaroló programok ranglistáját 41 százalékos részesedéssel vezeti a CryptoWall, amit a második helyen lévő Locky 34 százalékkal követ. A Cerber jelenleg 24 százalékos részesedéssel rendelkezik, de ez folyamatosan emelkedik. Ráadásul semmi jele annak, hogy a károkozó terjedésének sikerülne gátat szabni, és úgy tűnik, hogy a készítői sem kívánnak visszavonulót fújni. Töretlenül fejlesztik a roppant ártalmas szerzeményüket, és az ahhoz tartozó háttérinfrastruktúrát.
 
A trükk
 
Az már viszonylag régi technikának számít a vírusírók körében, hogy a kártékony kódjaikat rendszeresen változtatják annak érdekében, hogy a víruskeresőkön minél kisebb valószínűséggel akadjanak fent. Az elmúlt időszakban a Cerber is folyamatosan változott, ezért az antivírus fejlesztő cégektől is gyors reakciókra volt szükség ahhoz, hogy felkészítsék a védelmi szoftvereiket a károkozó detektálására. Most azonban a szignatúrákra épülő, különösen a fájlokból képzett hash értékek alapján működő védelmek teljesen csődöt mondtak a Cerber új trükkje miatt.
 
Az Invincea biztonsági kutatóinak tűnt fel először, hogy valami nagyon nincs rendben a Cerber háza táján. Az történt ugyanis, hogy amikor egy fertőzött számítógépre akadtak, és meg akarták ismételni a fertőzési folyamatot, akkor egész egyszerűen nem tudták produkálni azt, hogy az eredeti Cerber kód rákerüljön a vizsgálatba bevont rendszere. A letöltődő kód (payload) mindig kicsit másként nézett ki, és más hash kódok adódtak hozzá. A kutatók ekkor jöttek rá, hogy a szerveren a Cerber kódja 15 másodpercenként megváltozik, így rövid időn belül több tucat különféle payloadot sikerült begyűjteniük.
 
Így fertőz a károkozó
 
A Cerber alapvető fertőzési mechanizmusa nem új keletű. A károkozó ártalmas Office dokumentumok, elsősorban Word fájlok révén terjed. Amikor a felhasználó ezt megnyitja (például egy e-mail mellékleteként), akkor a megjelenő dokumentum a makrók engedélyezését kéri. Ha ennek a kérésnek eleget tesz a felhasználó, akkor egy Base64 kódolással ellátott script fut le PowerShell segítségével. Ez letölti a Cerber károkozáshoz szükséges - gyorsan változó - kódját egy távoli vezérlőszerverről. Ettől kezdve pedig a már ismert mechanizmusok lépnek életbe, vagyis megkezdődik a fájlok titkosítása és a felhasználó megzsarolása.
 
Mit tehetünk?
 
Attól még, hogy a Cerber a hash alapú védelmi megoldásoknak egy elég komoly gyomrost adott, még nem lehetetlen az ellene való védekezés. A korszerű víruskeresők számos más technika révén is kiszűrhetik a szerzeményt. A rendszeres biztonsági frissítésekkel pedig befoltozhatók azok a sebezhetőségek, amik vírusterjesztést szolgálhatnak. Emellett természetesen nagyon lényegesek a rendszeresen elvégzett biztonsági mentések.
 
A legfontosabb pedig, hogy az ismeretlen, gyanús dokumentumokat soha ne nyissuk meg, és főleg ne engedélyezzük a makrók futtatását. Ha elég óvatosak vagyunk, akkor a Cerber jelenlegi variánsainak méregfogát mi magunk is könnyedén kihúzhatjuk.