Canary 文件是一种安全防御手段,用于早期检测勒索软件威胁。研究人员表示,该文件位于系统特定位置,其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图,那么它将当即提供必要防御方案。 [出自:jiwo.org]
调查显示,Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确,Cerber 将会对其进行加密并规避杀毒软件检测;如果图像格式不正确,Cerber 将跳过文件所在的整个目录。
研究员 Sternfield 表示,虽然该功能允许 Cerber 规避杀毒软件检测,但同时也会削弱自身价值。对此,研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外,Cybereason 还研发出一款免费应用程序 RansomFree,可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件,然而,该做法极易创建非正常 Canary 文件。例如,将图像文件重命名为 .jpeg。因此,此操作并非永久防御措施,用户需要加强自身系统防御体系,以减少恶意软件攻击。