Одно из самых популярных семейств приложений-вымогателей продолжает развиваться, получив возможность обнаруживать на компьютерах инструменты кибербезопасности, чтобы его сложнее было анализировать. Вымогатель Cerber впервые был обнаружен в начале 2016 года. Помимо шифрования файлов вымогатель при помощи файла формата . vbs проговаривал требования выкупа вслух.
Используя ряд командных серверов, злоумышленники дали возможность распространять Cerber всем желающим. Если жертвы платили выкуп, разработчики получали 40% прибыли, а распространители 60%. Обычно вымогатели распространяются по электронной почте, в письме содержится ссылка или вложенный файл. Компания Trend Micro сообщает, что новая версия Cerber даёт ссылку на Dropbox хакера. При переходе вредоносный код скачивается и запускается без участия пользователя.
Чтобы избежать обнаружения, вымогатель проверяет, не оказался ли он в виртуальной машине.
Именно в них исследователи часто анализируют вредоносный код, чтобы он не мог распространиться куда не надо. Обнаружив виртуальную машину, Cerber прекращает работу.
Аналитики пишут, что простые и самораспаковывающиеся файлы представляют собой проблему для механизмов обнаружения на основе машинного обучения. Все такие файлы выглядят одинаковыми независимо от содержимого. От пользователей, как обычно, требуется осторожность при обращении с ссылками и вложенными файлами, чтобы не стать новыми жертвами вымогателей.