Cerber家族并沒(méi)有顯著的繼承其他敲詐者木馬的特征。感染系統(tǒng)中大量文檔并向用戶(hù)勒索贖金。在每個(gè)被加密的文件目錄下釋放名為“# DECRYPT MY FILES #”的四個(gè)不同類(lèi)型文件（html、txt、url、vbs），將用戶(hù)引導(dǎo)至對(duì)應(yīng)的洋蔥域名（onion）頁(yè)面下支付比特幣。

Cerber家族最早見(jiàn)于2015年12月中旬，2016年1月更新到Cerber 2，2月更新到Cerber3開(kāi)始在國(guó)內(nèi)大規(guī)模爆發(fā)，現(xiàn)已更新至Cerber4。加密手段則主要采用RSA和RC4算法實(shí)現(xiàn)嗎，而非傳統(tǒng)敲詐者更常用的AES算法。

1. 中毒過(guò)程中用戶(hù)僅會(huì)感覺(jué)到系統(tǒng)出現(xiàn)卡慢（卡慢程度由計(jì)算機(jī)配置決定），文件加密完成后，桌后面會(huì)被替換為對(duì)應(yīng)的敲詐信息背景

2. 中毒計(jì)算機(jī)中存儲(chǔ)的文件均被加密，并在每個(gè)目錄下都有一式四份的勒索信息

與大多數(shù)傳統(tǒng)的敲詐者木馬傳播手段不同，Cerber家族木馬并不完全依靠郵件附件傳播。更多的是利用近些年比較火的CVE-2014-6332和CVE-2015-5122兩個(gè)漏洞，進(jìn)行網(wǎng)頁(yè)掛馬傳播。通過(guò)購(gòu)買(mǎi)廣告位、入侵網(wǎng)站后臺(tái)、鉆網(wǎng)站配置不安全空子等方法，將事先寫(xiě)好的惡意代碼植入到網(wǎng)站頁(yè)面中。用戶(hù)一點(diǎn)使用未及時(shí)打補(bǔ)丁的計(jì)算機(jī)訪問(wèn)含有惡意代碼的頁(yè)面，則會(huì)在完全不知情的情況下中毒。

查殺工具

實(shí)時(shí)保護(hù)工具