Investigadores de Cybereason han descubierto una nueva cepa del ransomware Cerber que implementa una nueva función para evitar la activación de archivos canary.
Los archivos canarys son una medida de seguridad para la detección temprana de amenazas como ransomware.Estos archivos están situados en posiciones específicas de los sistemas. Si la observación de anti-ransomware detecta cualquier intento de cifrar estos archivos la solución defensa disparará las contramedidas necesarias.
Investigadores de Cybereason han descubierto una nueva cepa del ransomware Cerber que implementa una nueva función para evitar la activación de archivos canary.
“Para evitar el cifrado de archivos de canary y el disparo contra el ransomware programas”, informa Uri Sternfield, investigador principal del Cybereason “, una nueva característica de Cerber ahora busca en computadoras para cualquier archivo de imagen (.png, .bmp, .tiff, .jpg, etc. ) y comprueba si son válidas. Los archivos de imagen se utilizan comúnmente como archivos de canary. Si se encuentra una imagen con formato incorrecto, Cerber se salta todo el directorio en el que se encuentra y que no cifra “.
Usando esta técnica, el ransomware Cerber es capaz de evadir la detección basado en archivos canary. Los expertos señalaron que este mecanismo podría ser utilizado en contra del ransomware Cerber colocando los archivos modificados canario falsos (es decir, archivos de imagen con formato incorrecto) en cualquier directorio importante del sistema. De esta manera, los usuarios pueden vacunar a cualquier carpeta que contiene el contenido valioso.
“Si bien este truco podría permitir a Cerber evadir algunas soluciones canary en archivos anti-ransomware, sino que también hace que sea vulnerable”, explica Sternfield; “Un usuario puede 'vacunar' cualquier directorio importante contra Cerber mediante la creación de un archivo de imagen no válida en su interior, por ejemplo, mediante la copia de cualquier archivo sin imagen a este directorio y cambiar el nombre a .jpg. Cerber supondrá que el archivo es un archivo canary instalado por un programa anti-ransomware en la máquina del usuario y se niegan a cifrarlo!”
Cybereason ha desarrollado una aplicación gratuita apodado RansomFree que protege a los usuarios de ransomware y genera automáticamente los archivos en carpetas canary valiosos.
Sin embargo, es fácil crear archivos malformados canary, por ejemplo, cambiando el nombre de archivo que no sea la imagen en JPEG.
“Simplemente tomar cualquier archivo sin imagen y cambiarle el nombre a .jpg, a continuación, copiar este archivo en cualquier carpeta que contiene documentos importantes. Esto tiene que realizarse por separado para cada carpeta “, explicó Sternfield.
