Nowa odmiana ransomware Cerber kradnie Bitcoiny

Ostatnio pisałem, że twórcy WannaCry opróżnili swoje portfele cyfrowej waluty Bitcoin i wtedy spekulowałem, iż ransomware szyfrujące pliki to czarna przyszłość Internetu. Jak alarmuje Trend Micro, pojawiła się nowa odmiana wirusa Cerber, który oprócz blokowania dostępu do danych żądając okupu, teraz potrafi wykraść zawartość portfela Bitcoin, a także hasła z przeglądarek: Internet Explorer, Google Chrome i Mozilli Firefox.

Po zainfekowaniu komputera, szkodliwe oprogramowanie najpierw wyszukuje aplikacji do zarządzania portfelami kryptowaluty, jak np. Bitcoin Core, Electrum czy Multibit. Następnie, wysyła jego ID na zewnętrzny serwer i kasuje całą aplikację. Oczywiście w ten sposób nie da się ukraść żadnych pieniędzy. Twórcy ransomware też to wiedzą i dlatego zaimplementowali funkcję do wykradania haseł z przeglądarek – wielu użytkowników używa tego samego hasła do wszystkich swoich kont. Co ciekawe, podobno Cerber potrafi także skanować zaatakowany komputer i wyszukiwać pliki z hasłami (przypadki takiego przechowywania haseł też się zdarzają). Gdy już uda się wykraść potrzebne informacje, wirus szyfruje dane na dysku i żąda okupu. Też w Bitcoinach.

Tak wygląda ekran zablokowanego komputera w starszej wersji ransomware Cerber, źródło zdjęcia: SensorTechForum

Proces rozprzestrzeniania Cerbera jest dokładnie taki sam, jak poprzednio. Rozsyłany jest w załącznikach e-maili. Trend Micro wzywa wszystkich administratorów sieci do ustawienia reguł filtrujących przychodzące wiadomości elektroniczne, by blokować te z niezweryfikowanych źródeł. To dość radykalne posunięcie, jednak tylko w taki sposób można walczyć z szkodnikami, natomiast użytkownicy domowi proszeni są o częste zmienianie haseł, nie przetrzymywanie ich na komputerze, stosować ich co najmniej kilka, a także częste aktualizowanie przeglądarek internetowych. Dobrą praktyką jest generowanie haseł do najistotniejszych kont - czy to bankowych, czy do portfeli Bitcoin i używanie jednego hasła do tylko jednego konta.

Ransomware Cerber od maja dostał około pół tysiąca różnych aktualizacji, co pokazuje dość spore zaangażowanie jego twórców, aby dostać się nie tylko do danych użytkowników, ale i ich wirtualnych portfeli.