Программа-вымогатель Cerber: как она работает и как с ней бороться

История программы-вымогателя Cerber была чрезвычайно сложной. Впервые обнаруженный исследователями безопасности примерно в марте 2016 года, программа-вымогатель превратилась в несколько версий (сейчас это версия 5.0) и приобрела популярность среди хакеров во всем мире. Как и многие виды программ-вымогателей, штамм Cerber возникает из вредоносной рекламы, скомпрометированных веб-страниц, а также кампаний по электронной почте. Если вам не повезло заразиться Cerber, прочитайте ниже, чтобы узнать, что происходит на вашем компьютере, а также как вы можете с этим бороться.

По словам Лоуренса Абрамса из Bleeping Computer, как только Cerber вторгнется в систему, он сначала увидит, в какой стране используется устройство. Возможно, это окно в мировоззрение или происхождение злоумышленников, но независимо от того, находитесь ли вы в странах Армении, Азербайджана, Беларуси, Грузии, Кыргызстана, Казахстана, Молдовы, России, Туркменистана, Таджикистана, Украины или Узбекистана, Cerber немедленно прекратится.

Если вы не живете в этих странах, программа-вымогатель начнет шифрование на основе определенных расширений файлов (см. обширный список ниже):

При заражении вы подвергаетесь стандартным программ-вымогателей. Под этим я подразумеваю, что как только ваша машина полностью заражена и файлы зашифрованы, вы получаете сообщение с инструкциями по расшифровке. Выкуп — это требование в любимой валюте хакеров биткойнах с обещанием, что вы получите доступ к своим файлам, как только заплатите комиссию. Самое последнее уведомление после заражения можно увидеть ниже:

В зависимости от версии другие элементы на вашем компьютере могут быть зашифрованы. Например, исследователь BloodDolly утверждает, что в текущей версии Cerber Cerber «пропустит 640 байт по сравнению с 512 байтами в предыдущих версиях при шифровании файла и… любой файл размером менее 2560 байт не будет зашифрован».

Хаос, который создает Cerber, распространяется не только на шифрование файлов, поскольку исследователи MalwareBytes сообщают, что он «обходит контроль учетных записей Windows (UAC) и развертывает себя с повышенными привилегиями». Этот процесс показан ниже:

В зависимости от версии существуют способы борьбы с Цербером. Основной способ — попытка удаления вручную. К сожалению, этот процесс деликатный и может повредить вашу машину, если вы не будете осторожны. Если вы хотите попробовать это, что, откровенно говоря, рискованно, и я не советую, я рекомендую эту статью от замечательной команды VirusResearch.org.

Другой вариант двоякий. Во-первых, используя в безопасном режиме программу удаления вредоносных программ. Многие крупные компании знают об этой программе-вымогателе и настроили свои программы, чтобы, по крайней мере, удалить настоящую вредоносную программу. Проблема в том, что это не расшифрует файлы. Ваш единственный вариант в этом случае, вероятно, ожидание программного обеспечения для расшифровки. На данный момент любое программное обеспечение для расшифровки работает только с версиями Cerber 1 и 2. Все, что расшифровывает с использованием версии 3 и выше, в настоящее время не существует, и, к сожалению, оно оставляет вас в беде, если вы не сделали резервную копию своих файлов через внешний жесткий диск.

Лучший способ защититься от Cerber — усердно замечать вредоносные ссылки. У вас может не быть других вариантов, кроме этого, исходя из того, что мы знаем о программе-вымогателе.