ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Теперь перед шифрованием контента вымогатель может отключать связанные с серверами баз данных процессы.

Разработчики Cerber выпустили новую версию вымогательского ПО, включающую ряд новых функций, в том числе возможность деактивации связанных с серверами баз данных процессов перед шифрованием контента на компьютере или сервере.

Как правило, цель программ-шифровальщиков – охватить как можно больше ценной информации для увеличения вероятности того, что пользователь заплатит за восстановление файлов. Для рядовых потребителей важными являются персональные файлы: личные фотографии, видео, документы или сохранения в играх, однако для корпоративной среды это базы данных. Одна из основных проблем хакеров заключается в том, что доступ на запись к файлам баз данных может быть заблокирован операционной системой, если они уже используются другими процессами. Это не позволяет программе-вымогателю зашифровать файлы.

Авторы Cerber нашли свое решение данной проблемы. По сведениям ресурса BleepingComputer, новая версия вымогателя отключает значительное количество процессов, связанных с базами данных: msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe и sqbcoreservice.exe.

Разработчики Cerber распространяют программу в рамках модели «Вымогательское ПО как услуга» (Ransomware-as-a-Service, RaaS). Как подсчитали специалисты компаний Check Point и InSights, ежегодно вирусописатели без особого риска зарабатывают порядка $946 тыс.

06.10.16 http://www.securitylab.ru/news/484040.php