勒索软件开始使用动态加载来躲避安全软件的查杀
臭名昭著的勒索软件Cerber及其系列变种在最近的更新中开始检测自身是否在虚拟机中运行来躲避安全分析。
这个勒索软件最初是在2016年年初时由反病毒软件厂商发现,除了加密用户文件外还会不停的弹窗威胁用户。
其背后则是有专门的开发团队不断的进行更新与改进,渠道商从开发团队购买后可自行配置服务器然后分发。
渠道商则是通过钓鱼网站、垃圾邮件以及各种下载网站传播勒索软件,等待用户上当后开始加密文件并勒索。
通常情况下安全研究人员会在虚拟机中对恶意软件进行研究,这样可以避免恶意软件侵入到研究人员的电脑。
不过Cerber在最新的更新中则是加入了对虚拟机的检测,如果检测到其自身运行在虚拟机中则不会进行运作。
这样安全研究人员就没法对其行为进行深入剖析,可能也无法寻找其中可能隐藏的密钥或者按行为进行查杀。
安全厂商趋势科技在检测最新版的Cerber时发现,该勒索软件会引导用户下载客户控制的Dropbox存储链接。
只要用户打开链接Cerber则在后台自动下载和运行,从打开之后到Cerber成功加载之间用户无需作任何操作。
其中值得注意的是新版Cerber采用新型封装和加载机制还可以干扰机器自动学习,从而影响安全软件的查杀。
这样该软件就更有可能潜入用户的电脑而不被安全软件拦截掉,用户中招后则需要支付约合1000美元的BTC。
在此也特别提醒不论是企业用户还是普通用户一定不要轻信各类具有诱惑性的钓鱼网站、邮件以及未知软件。
平时则是要定期备份重要文件进行云存储而不是单单放在本地存储,对于企业最好使用NAS服务器进行备份。