Октябрь начался для Cerber с перестройки: актуальный Windows-блокер обрел ряд новых особенностей, которые аналитики из BleepingComputer сочли нужным обнародовать. По словам экспертов, наиболее примечательными из нововведений являются смена расширения шифрованных файлов с .cerber3 на четыре произвольных символа, использование формата HTA для файлов с требованием выкупа и добавление директивы close_process, позволяющей завершать некоторые процессы базы данных перед шифрованием.

Обновленный Cerber по-прежнему скремблирует имя файла по завершении его шифровки, но присваивает не статическое расширение со своим именем, как ранее, а сгенерированное на лету — зашифрованный файл, к примеру, сохраняется как 1xQHJgozZM.b71c.

Требование выкупа ныне оформлено как HTA-документ, открываемый с помощью соответствующего приложения Windows. В нем содержатся инструкции по расшифровке, указаны адреса персональных страниц для покупки декриптора и для скачивания Tor-браузера, а также содержатся разъяснения по поводу новых .hta в папках с зашифрованными файлами.

Завершение процессов базы данных вирусописатели добавили для того, поясняют эксперты, чтобы высвободить больше файлов для шифрования. Если Cerber приступил к выполнению основной задачи во время работы этих процессов, используемые ими файлы могут оказаться недоступными для зловреда.

Статистику операторы Cerber по-прежнему собирают, получая от него UDP-пакеты на IP-адреса блока 31.184.234.0/23.

Update. Полный список нововведений в версии 4.0 вымогателя приведен в рекламном объявлении русскоязычного автора Cerber, скопированном Softpedia.

Категории: Аналитика, Вредоносные программы