• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:305

●重點摘要： 1. 資安專家發現勒索軟體 Cerber 出現新變種，會嘗試關閉資料庫連線，以增加感染的效果。 2. 以企業角度而言，重要的數據通常存儲在資料庫中，作業系統也會因為資料庫服務的程序進行中而鎖定不讓其他程序存取。 3. 而新變種的勒索軟體 Cerber，則會先嘗試關閉連結資料庫的相關程序，然後才開始進行加密流程。 4. 該勒索軟體會呼叫一個稱為 close_process 的指令，裡面的程式碼就是用來關閉如 MySQL、Oracle 和 Microsoft SQL server等資料庫的服務。 5. 下列為資安專家研析出該勒索軟體會關閉的程序： msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

參考連結：

http://securityaffairs.co/wordpress/51956/malware/new-cerber-ransomware.html
http://www.bleepingcomputer.com/news/security/cerber-ransomware-switches-to-a-random-extension-and-ends-database-processes/