Cerber病毒现新变种:加密Canary文件并规避杀软
近日,安全公司 Cybereason 研究人员 Uri Sternfield 在监控病毒程序动态时发现,勒索软件Cerber出现了新型变种,该新型变种病毒软件能够加密Canary文件、并规避杀毒软件的检测。
一、什么是Canary文件
所谓的Canary文件是一种安全防御手段,主要用于早期检测检测勒索软件威胁,该文件存在于系统的特定位置,其附带的杀毒软件可以监控任何恶意程序更改文件,当发现有恶意程序存在加密用户数据的企图时,它就会立即提供必要的防御方案。
二、Cerber新型变种病毒如何工作的
据据安全研究人员调查显示,Cerber新型变种病毒中具备一项新功能,能够允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。
如果病毒发现检索到的图像格式正确,就会立即对其进行加密从而9实现规避杀毒软件检测的目的;如果发现检索到的图像格式不正确,则会跳过该文件所在的整个目录。
研究员 Sternfield 表示,尽管该功能能够允许Cerber病毒成功的规避杀毒软件的检测,但同时也会削弱其本身的价值,因此,安全研究人员建议,用户可以利用其这一检测功能的弱点,通过创建无效图像文件的方式来误导Cerber加密任何非重要目录。
三、什么是Cerber病毒
Cerber病毒和Wannacry勒索软件、Netya勒索病毒一样,同属于勒索病毒的行列,黑客利用Cerber病毒能够实现对受害者设备进行感染,并对其硬盘中重要文件进行加密,然后向受害者勒索赎金才予以解密。
据360齐向东透露,从2014年开始,360方面陆续收到被Cerber勒索病毒攻击的求助消息,该病毒最开始的时候基本都是在国外流行的,国内被感染的大部分都是和外贸相关的机构,而且都属于偶然性的中招,后来,国内也出现了针对性的攻击事件,遭遇此病毒攻击的用户也迅速增加。
南方一家科技公司遭遇Cerber勒索病毒攻击后,办公电脑内部网盘被全部感染,重要文件资料全部无法正常工作,黑客要求受害者每个文件支付1.25个比特币赎金才予以解密,他的网盘中存放着几千个重要文件,全部解锁的话可能需要几百万人民币!
四、如何预防被Cerber勒索病毒攻击
安全公司 Cybereason 针对Cerber勒索病毒的特点,专门研发了一款免费的应用程序RansomFree,可以用来保护用户免受Cerber勒索文件加密重要文件的,还能自动在有价值的文件夹中生成Canary保护文件,但该应用程序也存在一定的缺陷,那就是很容易创建非正常的Canary保护文件,比如说就爱那个图片文件重命名为 .jpeg。
因此,使用此免费应用程序对设备进行自动保护并非永久防御之策,用户最好是实时保持自己的操作系统为最新状态,及时接收和安装系统推送的安全补丁,提升设备的安全性才是免遭病毒袭击的最佳防御手段!