勒索软件 cerber 新变种可加密 canary 文件、规避杀毒软件检测
2017-08-18 10:16:26
据外媒 8 月 16 日报道,安全公司 cybereason 研究人员 uri sternfield 近期发现勒索软件 出现新型变种,可加密 canary 文件、规避杀毒软件检测。
canary 文件是一种安全防御手段,用于早期检测勒索软件威胁。研究人员表示,该文件位于系统特定位置,其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图,那么它将当即提供必要防御方案。
调查显示,cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确,cerber 将会对其进行加密并规避杀毒软件检测;如果图像格式不正确,cerber 将跳过文件所在的整个目录。
研究员 sternfield 表示,虽然该功能允许 cerber 规避杀毒软件检测,但同时也会削弱自身价值。对此,,然而,该做法极易创建非正常 canary 文件。例如,将图像文件重命名为 .jpeg。因此,此操作并非永久防御措施,用户需要加强自身系统防御体系,以减少恶意软件攻击。
官方微信