21/2/17

Ο Cerber γίνεται (ακόμα) εξυπνότερος?


            Μια παραλλαγή του Cerber εμφανίστηκε στο προσκήνιο την προηγούμενη εβδομάδα, η οποία κατά την επίθεση, ψάχνει για εγκατεστημένα λογισμικά προστασίας (antivirus κλπ) και τα αφήνει εκτός κρυπτογράφησης, μην πειράζοντας κανένα από τα αρχεία των συγκεκριμένων λογισμικών. Έτσι, τόσο το firewall όσο και τα antivirus του υπολογιστή συνεχίζουν και λειτουργούν κανονικά μετά την επιμόλυνση.

Πως ο Cerber περνά το antivirus και το firewall :

Πως οι ransomware προσπερνούν τα antspyware με κώδικα και ζητάνε λύτρα
Cerber Ransomware

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 
         
         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.

Από τις 20/1 που εμφανίστηκε η συγκεκριμένη παραλλαγή του Cerber, όλοι αναρωτιούνται γιατί υπάρχει αυτή η συμπεριφορά, καθώς μέχρι τώρα το σύνολο των Ransomware προσπαθούσαν να αποφύγουν ή να παραλύσουν τα λογισμικά antivirus προκειμένου να κάνουν ανενόχλητα τη δουλειά τους. Εδώ όμως είναι σαφώς γραμμένο στον κώδικα του Cerber το whitelisting των λογισμικών ασφαλείας:


Τα αρχεία που εξαιρούνται από την κρυπτογράφηση είναι των λογισμικών antivirus, antispyware και του firewall του Η/Υ.
Η πρώτη σκέψη είναι ότι η εξαίρεση έχει γίνει γιατί τα λογισμικά προστασίας θα αντιληφθούν ότι κάτι δεν πάει καλά αν κάτι στα εσωτερικά τους αρχεία αλλάξει, και είναι απλά άλλος ένας τρόπος να αποφευχθεί η ... συνάντηση του Ransomware με τα Antiransomware.

Πως οι ransomware προσπερνούν τα antspyware με κώδικα και ζητάνε λύτρα :

Πως οι ransomware προσπερνούν τα antspyware με κώδικα και ζητάνε λύτρα
Κώδικας Cerber Ransomware

Πάντως, τα περισσότερα θύματα του Cerber είτε δεν έχουν εγκατεστημένο λογισμικό προστασίας, είτε αν έχουν, δεν είναι κάτι ποιοτικό.


Ps. Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο.