Úgy változtatja megjelenési formáját, mint egy kaméleon, így a régebbi védelmi technikák már elégtelenek a tavasszal felbukkant Cerber ransomware ellen. A zsaroló program legfőbb tulajdonsága ugyanis – amellett, hogy még arra is figyel, hogy a Szovjetunió utódállamaiban lévő gépek ellen ne indítson támadást –, hogy kódja 15 másodpercenként módosul. Így a hash-alapú védelmek tehetetlenek ellene.

Nem kis részben ennek is köszönheti, hogy rövid idő alatt a harmadik legelterjedtebb zsaroló program lett – írja a Biztonságportál – a Fortinet rangsorára hivatkozva. A Fortinet május végén, épp a Cerber terjedése kapcsán készített elemzése szerint jelenleg a CryptoWall a legelterjedtebb, a fertőzések 41 százalékát okozza, a Locky a második 34 százalékkal, míg a Cerber jelenleg a fertőzések közel negyedéért (24 százalék) felelős, miközben ez az AES titkosítást használó és a titkosítás feloldásáért alapesetben 1,24 bitcoint követelő zsaroló csupán idén márciusban bukkant fel.
 

Mint arról korábban írtunk, a Cerber nem csak a technikai háttere miatt ennyire hatásos. Egyrészt ha nem fizet a felhasználó, a zsaroló hétnaponként duplázza a követelt összeget, másrészt a pszichológiai hadviselés részeként egy géphang 12 nyelven el is mondja követeléseit.

A változás a lételeme

A kutatók szerint a Cerber előtt nagy karrier áll, ugyanis gyorsan fejlődik mind maga a vírus, mind a mögötte álló infrastruktúra. Annak ellenére nehéz megfogni, hogy egy régóta ismert módszerrel nehezíti a felismerését.

A módszer lényege, hogy a kódja rendszeresen változik, így értelemszerűen a víruskeresők is kisebb valószínűséggel ismerik fel. A Cerber azonban ezt megfejelte egy olyan trükkel is, amellyel képes kijátszani a szignatúrákra épülő, például a fájlokból képzett ún. hash értékek alapján működő védelmeket is.

A trükköt az Invincea kutatói ismerték fel. Amikor kaptak egy Cerberrel fertőzött rendszert, a vírust elkülönítve próbálták reprodukálni a fertőzés folyamatát. Csakhogy sehogy sem tudták elérni, hogy az eredetileg szeparált Cerber kód rákerüljön a tesztrendszerre. Ekkor vették észre, hogy a letöltődő kód (payload) mindig kicsit másként nézett ki, és más hash kódok adódtak hozzá. Kiderült, hogy a vezérlőszerveren a Cerber kódja 15 másodpercenként módosul, így rövid időn belül több tucat különféle payloadot sikerült begyűjteniük.

Régi fertőzési mechanizmussal párosul

A Cerber Office dokumentumokba, főleg Word fájlokba épített makrókkal terjed. A folyamat a következő. A felhasználó kap egy e-mailt, amiben van egy melléklet, például egy Word dokumentum. Amikor a dokumentumot megnyitja, az kéri a makrók futtatásának engedélyezését. Ha a felhasználó ezt leokézza, lefut egy Base64 kódolású script a PowerShell segítségével. Ez tölti le a Cerber károkozáshoz szükséges 15 másodpercenként módosuló kódját egy távoli vezérlőszerverről. Utána pedig beindul a már ismert folyamat: a ransomware titkosítja a fájlokat, majd felszólítja a felhasználót, hogy fizessen, ha hozzá akar jutni az állományihoz.

Bár így a hash-alapú védelem gyakorlatilag nem használható ellene, a modern víruskeresők azért nem teljesen tehetetlenek, hiszen számos más technikát is alkalmaznak a károkozók szűrésére. Ugyanakkor a legbiztosabb védelem a Cerber ellen az, ha rendszeresen készítünk biztonsági mentéseket.

A másik tanulsága pedig az, hogy sohasem szabad megnyitni gyanús leveleket, és főleg nem szabad a makrók futtatását engedélyezni.