CERBERの話。

「CERBER」は、2016年初期に出現して以来、随時斬新な手法を取り入れることで知られる暗号化型ランサムウェアのファミリです。これまで、音声による脅迫、クラウドサービスの悪用、データベースの暗号化、「malvertising（不正広告）」を利用した拡散、Windows スクリプトファイルの利用、各種のエクスプロイトキットなどを機能に取り入れ、時とともに改善してきました。目立って広く利用されている理由の1つは、CERBER はロシアのアンダーグラウンド市場で販売されているため、各方面のサイバー犯罪者にとって入手しやすいことにあるかもしれません。CERBER は日本国内でも拡散が確認されており、国内で 2016年10~12月に確認したランサムウェアを感染させる脆弱性攻撃サイトのうち、9割以上が「CERBER」を拡散させていたことは以前の記事で報告の通りです。
しかし、トレンドマイクロは、これまでとは異なる不正活動を見せる亜種（「RANSOM_CERBER.F117AK」として検出）を確認しました。この亜種は、セキュリティ対策ソフトウェアを暗号化対象ファイルから除外するため、一見無意味な骨折りをしています。
一般的に暗号化型ランサムウェアは、感染PC のデータを暗号化しますが、PC が正常に稼働できるようアプリケーションのファイルは暗号化せず、そのままにしておきます。そのためにソフトウェアがインストールされているフォルダ、そしてオペレーティングシステム（OS）があるフォルダのファイルについては、暗号化の対象から除外されています。暗号化型ランサムウェアは特定の拡張子を持つファイルのみ暗号化しますが、通常は実行可能ファイルも暗号化から除外されています。

日本でも拡散中のランサムウェア「CERBER」の新亜種、セキュリティソフトの存在を独自に確認 | トレンドマイクロ セキュリティブログ