A Cerber nevű zsaroló vírus bizonyára sokaknak nem ismeretlen. Ugyanis a támadói oldalon gőzerővel folyó fejlesztéseknek egyik igen érdekes terméke volt a Cerber, amely idén márciusban bukkant fel.
Az AES titkosítást használó zsaroló program úgy kódolta el az állományokat, hogy a "cerber" nevet fűzte a titkosított állományok végéhez például "Zu0ITC4HoQ.cerber". 1.24 BTC (500 USD, 140 ezer HUF) volt a váltságdíj összege, de ez 7 nap után duplázódott. Ám a legérdekesebb az volt, hogy audió állományban 12 nyelven hallgathatjuk meg a fizetésre felszólító hangüzenetet: angol, francia, portugál, török, német, kínai, lengyel, spanyol, japán, olasz, arab (az Arab Emírségek lobogója szerint) és holland.
A robotszerű géphang arról tájékoztat, hogy a dokumentumainknak annyi, és készíthetjük a pénztárcánkat. És ezzel még nem is volt vége az izgalmaknak, mert a kártevő ellenőrizte, hogy a számítógép nem az alábbi országokhoz tartozik-e: Örményország, Azerbajdzsán, Fehéroroszország, Grúzia, Kirgizisztán, Kazahsztán, Moldova, Oroszország, Türkmenisztán, Tádzsikisztán, Ukrajna, Üzbegisztán.
És az eredmény függvényében az ottani gépek esetén nem intézett támadást, azaz nem lett se titkosítás, se váltságdíj szedés. Nos ebből a Cerberből jelent meg most júniusban egy újabb variáns, amely zeroday sebezhetőséget használt, és kifejezetten a vállalati Office 365 felhasználókra fókuszált. A spamekben terjedő kampánynál különféle megtévesztő szövegű üzenetek mellett egy preparált Word állomány szerepelt a mellékletben, amely arra kérte a felhasználót, engedélyezze a makrók működését.
Azonban ha valaki óvatlanul ezt megtette, akkor megtörtént a fertőzés és vele a dokumentumok titkosítása, majd érkezett a hangalapú figyelmeztetés: "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!". Amely után sajnos itt is a szokásos végkifejlet következik, vagyis túszul ejtett adatainkért cserébe 1.24 Bitcoin váltságdíjat követelnek.
A védekezéshez érdemes óvatosan kezelni a kéretlen leveleket, különösen ha .EXE, .ZIP vagy Office állományt tartalmaz a csatolmány.
Legyen mindig gyanús, ha a makrókat állítólag engedélyezni kellene egy dokumentumban, és persze a megfelelően beállított vírusvédelem, valamint a hibajavító foltokkal naprakész operációs rendszer, illetve az alkalmazói programok mellett a külső adathordozóra történő rendszeres mentés is legyen kulcsfontosságú elem a repertoárunkban.
Office365 a zsarolóvírusok célkeresztjében
Újabb állomásához érkeztek a zsaroló programok, ezúttal a Microsoft Office 365 felhasználók kerülhettek bajba, ha bedőltek az újabb spamben érkező átverésnek.