همه چیز درباره نسخه 4.1.5 باج‌افزار Cerber

همه چیز درباره نسخه 4.1.5 باج افزار cerber

باج افزار cerber از آن دسته از باج‌افزارهایی است که نویسندگان آن همواره در حال به‌روزرسانی و تکامل آن هستند. نسخه 4.1.5، بعنوان آخرین گونه این باج‌افزار نیز از این قاعده مستثنی نبوده است.

به گزارش شرکت مهندسی شبکه گستر، آخرین گونه باج افزار cerber از طریق هرزنامه‌ها و با بهره‌گیری از روش‌های مهندسی اجتماعی کاربران را هدف قرار می‌دهد. در این هرزنامه‌ها این طور القاء می‌شود که ایمیل از سوی یک درگاه بانکی ارسال شده و دریافت‌کننده می‌بایست با کلیک بر روی لینک درج شده در ایمیل به حساب بانکی خود وارد شود.

در صورت کلیک کاربر بر روی لینک مخرب، باج‌افزار از اینترنت دریافت شده و بر روی سیستم اجرا می‌شود.

همچنین پیوست این هرزنامه‌ها نیز فایل فشرده‌شده‌ای است که در آن یک فایل JavaScript مخرب جاسازی شده است. در برخی نمونه‌ها نیز پیوست هرزنامه یک فایل Word با نامی تصادفی است که در صورت اجرای آن و فعال شدن بخش ماکرو در نرم‌افزار Office فایل باج‌افزار دریافت شده و دستگاه کاربر آلوده می‌شود.

گردانندگان باج افزار cerber استفاده از بسته‌های بهره‌جوی Rig،وNeutrino و Magnitude را نیز در کارنامه خود دارند. این باج‌گیران با بکارگیری بسته‌های بهره‌جو (Exploit Kit) از ضعف‌های امنیتی موجود بر روی دستگاه سوءاستفاده نموده و اقدام به آلوده نمودن آنها می‌کنند.

نسخه‌های 4.1.0، 4.1.4 و 4.1.5 باج افزار cerber دستگاه‌های با برخی زبان‌ها را که عمدتاً مربوط به کشورهای عضو اتحاد جماهیر شوروی سابق می‌شوند آلوده نمی‌کنند. این باج‌افزار از یک API با عنوان GetKeyboardLayoutList برای شناسایی مجموعه زبان‌ها فعال شده بر روی سیستم عامل استفاده می‌کند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro در فاصله بین ماه مارس تا اواسط ماه نوامبر سال میلادی جاری، عمده سیستم‌های هدف قرار گرفته شده توسط این باج‌افزار در کشورهای آمریکا، آلمان، ژاپن، استرالیا، چین، فرانسه، ایتالیا، کانادا و کره جنوبی بوده‌اند.

علاوه بر رمزنگاری فایل‌ها بر روی درایوهای ثابت و حذف‌شدنی، باج افزار cerber اقدام به رمز کردن فایل‌های موجود در پوشه‌های شبکه‌ای اشتراکی و همینطور فایل‌های ذخیره شده بر روی درایوهای RAM می‌کند.

همانطور که پیش‌تر در خبرها اشاره شد گونه‌های جدید این باج‌افزار – نسخه 4 و بعد از آن – فایل‌های بانک داده (Database) را هدف قرار می‌دهند.

البته رمزنگاری فایل‌های بانک داده منحصر به باج‌افزار Cerber نیست. در نیمه نخست سال 2016 باج‌افزارهای crypJOKER،وSURPRISE،وPowerWare و Emper نیز پسوند فایل‌های مرتبط با بانک‌های داده را به فهرست اهداف خود اضافه کردند. از جمله این فایل‌ها می‌توان به dBASEو(dbf.)،وMicrosoft Accessو(accdb.)،وAbility Databaseو(mdb.) و OpenOfficeو(odb.) اشاره کرد.

جالب اینکه Cerber از رمزنگاری فایل‌های کپی شده در برخی مسیرهای مرتبط با نرم‌افزارهایی همچون Microsoft SQL Server و Office صرف‌نظر می‌کند.

همچنین Cerber ابتدا پروسه پایگاه داده را متوقف کرده و سپس اقدام به رمزنگاری فایل‌های بانک داده می‌کند.

فایل پیکربندی نسخه 4.1.5 باج افزار cerber فهرست بلندبالایی از پسوندها را از جمله فایل‌های بانک داده نرم‌افزارهای Microsoft Access،وOracle،وMySQL و SQL Server Agent و همچنین فایل‌های مرتبط با برنامه‌های حسابداری، حقوق و دستمزد و سامانه‌های بیمارستانی را در خود دارد.

در مرداد ماه دو شرکت امنیتی CheckPoint Software و IntSight Cyber Intelligence یک گزارش تحلیلی درباره باج‌افزار Cerber و کسب‌وکار آن به عنوان یک سرویس نرم‌افزاری (Ransomware-as-a-Service) منتشر کردند. بر اساس آن گزارش، به طور متوسط باج‌افزار Cerber روزانه به هشت متقاضی به صورت سرویس نرم‌افزاری اجاره داده می‌شود. از این میزان دستگاه آلوده، تبهکاران سایبری توانسته‌اند در مدت یک ماه حدود 200 هزار دلار به صورت باج پرداختی از سوی قربانیان، درآمد کسب کنند که 40 درصد از آن به عنوان هزینه سرویس نرم‌افزاری به سازندگان اصلی باج‌افزار Cerber تعلق می‌گیرد. بدین ترتیب برآورد می شود که سازندگان Cerber سالانه نزدیک به یک میلیون دلار درآمد داشته باشند.

نمونه‌های بررسی شده در نسخه‌های 4.1.0 تا 4.1.5 باج افزار Cerber توسط ضدویروس‌های McAfee،وBitdefender و ESET با نام‌های زیر شناسایی می‌شود.

McAfee

– Ransomware-FQT!07BCE891B4BF

– NSIS/ObfusRansom.f

– Artemis!F563459047E3

– Ransomware-FQT!22C403F93D94

– Ransomware-FUO!31AFB68A1595

– RDN/Generic.dx

– Ransomware-FWM!F7019AE06219

– Ransomware-FWM!A170B3C37B0E

Bitdefender

– Trojan.Ransom.Cerber.BI

– Trojan.GenericKD.3712205

– Trojan.Ransom.Cerber.BY

– Gen:Variant.Razy.106932

– Trojan.Agent.CASM

– Gen:Variant.Graftor.312528

– Gen:Variant.Razy.51484

ESET

– a variant of Win32/Kryptik.FIVB

– NSIS/Injector.IZ

– NSIS/Injector.JH

– a variant of Win32/Kryptik.FJHG

– a variant of Win32/Kryptik.FJSQ

– a variant of Win32/Kryptik.FJFI

© کپی رایت - ریکاوری هارد و بازیابی اطلاعات امین پایتخت