Nagyon eldurvult a Cerber zsaroló program

A Cerber lehet a következő károkozó azon zsaroló programok sorában, amelyek világszinten tetemes, sok esetben helyreállíthatatlan károkat idéznek elő.
 

Nem telik el úgy nap, hogy ne jelennének meg újabb zsaroló programok, amelyek fájlok titkosításával és felhasználók zsarolásával próbálják szolgálni a kiberbűnözés céljait. Így aztán nem is mindig könnyű kiválasztani a sorból egy-egy olyan szerzeményt, ami végül kiemelkedhet a mezőnyből, és az átlagosnál nagyobb pusztítást okozhat. Egy ideig a Cerber nevű károkozó is viszonylag "csendesen" fertőzte a számítógépeket, azonban az utóbbi néhány hétben jelentősen megváltozott a helyzete. A kiberbűnözők érdemesnek tartották a szélesebb körű támadásokra, ezért egy nagyon komoly infrastruktúrát állítottak mögé.
 
A Cerber először februárban jelent meg, de akkor még nem terjedt nagy számban. Viszont már akkor is sikerült felhívnia magára a figyelmet elsősorban azáltal, hogy egy úgynevezett text-to-speech összetevő is belekerült. Ennek segítségével a fájlok használhatatlanná tételét követően nemcsak megjelenítette a követeléseit, hanem azokat fel is "olvasta". A Cerber további fontos jellemzője, hogy különféle exploit kitek (Magnitude, Nuclear Pack) segítségével képes kihasználni szoftveres sérülékenységeket. Különösen kedveli az Adobe Flash Player biztonsági réseit, amelyeket a fertőzések során megpróbál a saját javára fordítani.
 
A Cerber alapvetően elektronikus levelekben terjed. Ezek a küldemények egy-egy csatolmányt (esetenként kártékony weboldalra mutató hivatkozást) tartalmaznak. A levelek üzenetének tanúsága szerint a melléklet egy számlát, rendelést vagy fizetési értesítőt tartalmaz. Amennyiben ezt a felhasználó kíváncsiságtól vezérelve megnyitja, akkor általában egy Word állomány jelenik meg, amelyben az áll, hogy a tartalom megtekintéséhez engedélyezni kell a makrókat.
 
A Cerber nagyon óvatos, és mindent elkövet, hogy ne akadjon fent a védelmi hálókon. Ezért a kártékony kódját nem a makró tartalmazza, az kizárólag az ártalmas fájlok internetről való letöltéséért felel. Ráadásul ez a letöltés is trükkösen megy végbe (HTTP Range Request manipulációk útján). Amikor pedig minden káros kód a számítógépen van, akkor kezdetét veszi az állományok titkosítása, majd a zsarolás. A kompromittált fájlok ismertetőjele, hogy a kiterjesztésük ".cerber"-re változik.
 
Durva háttér

A FireEye kutatói arra lettek figyelmesek, hogy a Cerber nagyon komoly háttértámogatást kapott a terjedéséhez. Nem kevesebbről van szó, mint hogy a Cerber a banki adatlopásra specializálódott, széles körben jelenlévő Dridex trójai botnetjéhez csatlakozott, amivel egy kiterjedt hálózat részévé vált. A Dridex botnet elsősorban kéretlen elektronikus levelek küldözgetésével veszi ki a részét a vírusterjesztésből. A legfrissebb adatok szerint napi több millió spam származik ebből a hálózatból.  
Azt gondolhatnánk, hogy a milliónyi e-maillel beérik a csalók, de ez nincs így. A legújabb Cerber variáns ugyanis már tartalmaz egy olyan összetevőt is, amely alkalmas a fertőzött számítógépekről történő spamelésre. A biztonsági kutatók szerint ez a spammodul vélhetőleg még csak tesztverzióban van jelen, de hamarosan ez is további problémákat okozhat.
 
A Cerber elleni védekezésben fontos a naprakészen tartott víruskeresők használata. Emellett nélkülözhetetlen a rendszeres biztonsági mentés, és e mentések biztonságos helyen történő tárolása.