Cerber病毒现新变种:加密Canary文件并规避杀软

近日，安全公司 Cybereason 研究人员 Uri Sternfield 在监控病毒程序动态时发现，勒索软件Cerber出现了新型变种，该新型变种病毒软件能够加密Canary文件、并规避杀毒软件的检测。

一、什么是Canary文件

所谓的Canary文件是一种安全防御手段，主要用于早期检测检测勒索软件威胁，该文件存在于系统的特定位置，其附带的杀毒软件可以监控任何恶意程序更改文件，当发现有恶意程序存在加密用户数据的企图时，它就会立即提供必要的防御方案。

二、Cerber新型变种病毒如何工作的

据据安全研究人员调查显示，Cerber新型变种病毒中具备一项新功能，能够允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。

如果病毒发现检索到的图像格式正确，就会立即对其进行加密从而9实现规避杀毒软件检测的目的；如果发现检索到的图像格式不正确，则会跳过该文件所在的整个目录。

研究员 Sternfield 表示，尽管该功能能够允许Cerber病毒成功的规避杀毒软件的检测，但同时也会削弱其本身的价值，因此，安全研究人员建议，用户可以利用其这一检测功能的弱点，通过创建无效图像文件的方式来误导Cerber加密任何非重要目录。

三、什么是Cerber病毒

Cerber病毒和Wannacry勒索软件、Netya勒索病毒一样，同属于勒索病毒的行列，黑客利用Cerber病毒能够实现对受害者设备进行感染，并对其硬盘中重要文件进行加密，然后向受害者勒索赎金才予以解密。

据360齐向东透露，从2014年开始，360方面陆续收到被Cerber勒索病毒攻击的求助消息，该病毒最开始的时候基本都是在国外流行的，国内被感染的大部分都是和外贸相关的机构，而且都属于偶然性的中招，后来，国内也出现了针对性的攻击事件，遭遇此病毒攻击的用户也迅速增加。

南方一家科技公司遭遇Cerber勒索病毒攻击后，办公电脑内部网盘被全部感染，重要文件资料全部无法正常工作，黑客要求受害者每个文件支付1.25个比特币赎金才予以解密，他的网盘中存放着几千个重要文件，全部解锁的话可能需要几百万人民币！

四、如何预防被Cerber勒索病毒攻击

安全公司 Cybereason 针对Cerber勒索病毒的特点，专门研发了一款免费的应用程序RansomFree，可以用来保护用户免受Cerber勒索文件加密重要文件的，还能自动在有价值的文件夹中生成Canary保护文件，但该应用程序也存在一定的缺陷，那就是很容易创建非正常的Canary保护文件，比如说就爱那个图片文件重命名为 .jpeg。

因此，使用此免费应用程序对设备进行自动保护并非永久防御之策，用户最好是实时保持自己的操作系统为最新状态，及时接收和安装系统推送的安全补丁，提升设备的安全性才是免遭病毒袭击的最佳防御手段！