Una variante del Cerber contiene una función que busca los productos de seguridad instaladas localmente y evita cifrar sus archivos, por lo que los cortafuegos, antivirus o antispyware productos pueden seguir trabajando incluso después de Cerber ha bloqueado el ordenador.
Descubierta por los investigadores de Trend Micro y detectado como RANSOM_CERBER.F117AK, esta variante Cerber ha aparecido por primera vez en línea el 20 de enero y ha desconcertado a los investigadores desde entonces, ya que nadie podía explicar por qué deja sus productos de seguridad en funcionamiento.
Normalmente, el malware que vería lo que sea posible para evitar o paralizar el software antivirus. Este no fue el caso de esta variante Cerber, que contenía código escrito específicamente para la tarea de listas blancas de productos de seguridad, que no se ve en las variantes anteriores Cerber.
Basado en un análisis realizado por investigadores de Trend Micro , esta variante Cerber utiliza la interfaz de administración de Windows (WMI) para consultar el equipo infectado por tres clases de software: FirewallProduct, AntiVirusProduct, y AntiSpywareProduct.
Cerber entonces crea una lista de todos los productos de software incluidos en estas clases, y los agrega a su lista blanca, es decir, el ransomware no cifrar sus archivos, dejando a los programas operativos, incluso después de la exitosa infección cerber.
Tanto Trend Micro y el investigador de seguridad MalwareHunter, señalan que este comportamiento es inútil, ya que Cerber ya tiene una lista blanca archivos EXE, DLL, y las aplicaciones instaladas en la carpeta Archivos de programa.
El resto de la conducta de Cerber es normal, con la misma petición de rescate, los mismos fondos de pantalla, la misma nota de rescate, y el mismo archivo y carpetas lista blanca, que incluye los archivos y los navegadores del sistema operativo.
