勒索软件 Cerber 新变种可加密 Canary 文件、规避杀毒软件检测

据外媒 8 月 16 日报道，安全公司 Cybereason 研究人员 Uri Sternfield 近期发现勒索软件 Cerber 出现新型变种，可加密 Canary 文件、规避杀毒软件检测。       

Canary 文件是一种安全防御手段，用于早期检测勒索软件威胁。研究人员表示，该文件位于系统特定位置，其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图，那么它将当即提供必要防御方案。

调查显示，Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确，Cerber 将会对其进行加密并规避杀毒软件检测；如果图像格式不正确，Cerber 将跳过文件所在的整个目录。

研究员 Sternfield 表示，虽然该功能允许 Cerber 规避杀毒软件检测，但同时也会削弱自身价值。对此，研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外，Cybereason 还研发出一款免费应用程序 RansomFree，可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件，然而，该做法极易创建非正常 Canary 文件。例如，将图像文件重命名为 .jpeg。因此，此操作并非永久防御措施，用户需要加强自身系统防御体系，以减少恶意软件攻击。

稿源：Pierluigi Paganini， 译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接