Весной этого года исследователи Malwarebytes сообщали, что шифровальщик Cerber стал лидером на черном рынке, это во многом связано с переходом малвари на модель RaaS (Ransomware-as-a-Service) и постоянными обновлениями. В этом году малварь стал невидимым для антивирусных продуктов, даже от тех, которые используют машинное обучение для обнаружения угроз.
В отчете Malwarebytes говорится, что в первом квартале 2017 года Cerber захватил 90% рынка шифровальщиков. Данный показатель уступает лишь рекорду TeslaCrypt, установленному в мае 2016 года.
Специалисты компании Trend Micro сообщили о новой версии Cerber. Эта версия не только шифрует файлы жертвы и вымогает у пострадавших выкуп в 300-600 долларов США, но самое «крутое» это то, что он похищает криптовалюту и пароли от кошельков.
Исследователи в отчете пишут, что Cerber распространяется по средствам вредоносных почтовых вложений, но теперь вымогатели не сразу приступают к шифрованию файлов на зараженной машине. Сначала малварь занимается поиском криптовалютных кошельков Bitcoin Core, Electrum и Multibit, а найдя интересующие данные похищает связанные с приложениями файлы wallet.dat (Bitcoin), *.wallet (Multibit) и electrum.dat (Electrum).
Данные файлы сами по себе не дают возможность злоумышленникам похитить чужую криптовалюту, еще нужен пароль для доступа к кошельку. Еще специалисты отмечают, что Electrum не использует electrum.dat с 2013 года. Еще Cerber ворует пароли из Internet Explorer, Google Chrome и Mozilla Firefox.
После того, как информация о криптовалютных кошельках и украденных паролях оказалась на сервере злоумышленника, Cerber приступает к удалению всей информации об украденных паролях и криптовалютных кошельках, а после занимается обычным процессом шифрования данных.
Аналитики из Trend Micro отмечают, что создатели малвари, занимаются поиском новых способов монетизации своего «продукта», и то, что они обратили внимание на криптовалюту, логично.