据外媒本月 3 日报道，勒索软件 Cerber 新变种突现，具有多途径传播与文件加密功能，以及包括防沙箱与反杀毒软件技术在内的防御机制。

调查表明，Cerber 攻击事件不仅占 2017 年之一季度勒索软件攻击总量的 87％，还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月，趋势科技（ TrendMicro ）安全研究人员发现 Cerber 已存有六个版本，加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。

TrendMicro 威胁分析师吉尔伯特·西森（Gilbert Sison）指出，Cerber 新变种采用多种 *** 规避传统安全解决方案检测。而为扩大功能、保持领先地位，Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。

此外，Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件，其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件， *** 文件就开始下载执行有效载荷、创建计划任务，并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出，在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。

研究人员指出，Cerber 6 目前可配置添加 Windows 防火墙规则，阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量，限制其检测与缓解功能。此外，Cerber 进一步恶化分析工具与虚拟环境的自我认知能力（通过自我毁灭实现规避）以及针对静态机器学习的检测规避能力。据悉，Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现，有利于加密应用程序编程接口的维护。

原作者：Gabriela Vatu， 译者：青楚，译审：游弋
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接