Biến thể Cerber mới tránh mã hóa các chương trình bảo vệ

Mã độc đòi tiền chuộc Cerber có nhiều biến thể khác nhau nhưng đã xuất hiện một loại đặc biệt tránh mã hóa những file của các chương trình bảo vệ trên thiết bị của nạn nhân

bao gồm tường lửa , phần mềm chống Virus hoặc những sản phẩm chống Spyware .

Trend Micro đã phát hiện ra biến thể mới trên và gọi tên nó là RANSOM_CERBER.F117AK lần đầu tiên hôm 20/1 . Sau khi phát hiện ra họ đã phân tích mã độc này và rất ngạc nhiên khi nó để lại những công cụ an ninh đang chạy thậm chí sau khi Cerber đã khóa máy tính .

Các hành xử thông thường của các mã độc là mọi thứ để có thể tránh bị phát hiện hoặc bị theo dõi hoặc làm gì đó để không thể gỡ bỏ được khỏi thiết bị đã bị lây nhiễm .

Trend Micro cho biết “ WMI (Windows Management Interface) là cơ sở hạ tầng để quản lí dữ liệu trong hệ điều hành Windows . Nó là công cụ mạnh dùng để chia xẻ thông tin quản lí hệ thống bao gồm những phần mềm và những sản phẩm bảo vệ “.

Theo các nhà nghiên cứu , Cerber mới tìm kiếm ba WMI bao gồm : FirewallProduct , AntiVirusProduct và AntiSpywareProduct . Sau đó nó lấy ra những thư mục này có chứa những file đã cài đặt và đưa vào danh sách không mã hóa .

Những thư mục thông thường của phần mềm đã cài đặt như Windows cũng không bị mã hóa .

Cerber mới đòi tiền chuộc 1 Bitcoin và 2 Bitcoin nếu như sáu 5 ngày nạn nhân không trả tiền chuộc .