Приложение-вымогатель Cerber научилось обнаруживать виртуальные машины

Одно из самых популярных семейств приложений-вымогателей продолжает развиваться, получив возможность обнаруживать на компьютерах инструменты кибербезопасности, чтобы его сложнее было анализировать. Вымогатель Cerber впервые был обнаружен в начале 2016 года. Помимо шифрования файлов вымогатель при помощи файла формата .vbs проговаривал требования выкупа вслух.

Используя ряд командных серверов, злоумышленники дали возможность распространять Cerber всем желающим. Если жертвы платили выкуп, разработчики получали 40% прибыли, а распространители 60%. Обычно вымогатели распространяются по электронной почте, в письме содержится ссылка или вложенный файл. Компания Trend Micro сообщает, что новая версия Cerber даёт ссылку на Dropbox хакера. При переходе вредоносный код скачивается и запускается без участия пользователя.

Чтобы избежать обнаружения, вымогатель проверяет, не оказался ли он в виртуальной машине. Именно в них исследователи часто анализируют вредоносный код, чтобы он не мог распространиться куда не надо. Обнаружив виртуальную машину, Cerber прекращает работу.

Аналитики пишут, что простые и самораспаковывающиеся файлы представляют собой проблему для механизмов обнаружения на основе машинного обучения. Все такие файлы выглядят одинаковыми независимо от содержимого. От пользователей, как обычно, требуется осторожность при обращении с ссылками и вложенными файлами, чтобы не стать новыми жертвами вымогателей.