Последняя модификация Cerber способна убивать процессы баз данных


CerberРазработчики Cerber выпустили новую версию своего детища. Последняя версия вымогательского ПО, включает в себя ряд новых функций, в том числе возможность деактивации связанных с серверами баз данных процессов перед шифрованием контента на компьютере или сервере.

Напомним, цель программ-шифровальщиков – охватить как можно больше ценной информации. Это увеличит вероятность того, что пользователь заплатит за восстановление файлов. И если для рядовых потребителей важными являются персональные файлы: личные фотографии, видео, документы или сохранения в играх, то для корпоративной среды - это базы данных. Однако, поскольку доступ на запись к файлам баз данных может быть заблокирован операционной системой, если они уже используются другими процессами, то программа-вымогатель не сможет зашифровать файлы.

 

Авторы Cerber нашли свое решение данной проблемы. Новая версия вымогателя отключает значительное количество процессов, связанных с базами данных:

  • msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe и sqbcoreservice.exe.


Распространяется Cerber в рамках модели "Вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS). По предварительным подсчетам, ежегодный заработок вирусописателей порядка $946 тыс.


Обновлено (06.10.2016 22:35)