همه چیز درباره نسخه 4.1.5 باجافزار Cerber
باج افزار cerber از آن دسته از باجافزارهایی است که نویسندگان آن همواره در حال بهروزرسانی و تکامل آن هستند. نسخه 4.1.5، بعنوان آخرین گونه این باجافزار نیز از این قاعده مستثنی نبوده است.
به گزارش شرکت مهندسی شبکه گستر، آخرین گونه باج افزار cerber از طریق هرزنامهها و با بهرهگیری از روشهای مهندسی اجتماعی کاربران را هدف قرار میدهد. در این هرزنامهها این طور القاء میشود که ایمیل از سوی یک درگاه بانکی ارسال شده و دریافتکننده میبایست با کلیک بر روی لینک درج شده در ایمیل به حساب بانکی خود وارد شود.
در صورت کلیک کاربر بر روی لینک مخرب، باجافزار از اینترنت دریافت شده و بر روی سیستم اجرا میشود.
همچنین پیوست این هرزنامهها نیز فایل فشردهشدهای است که در آن یک فایل JavaScript مخرب جاسازی شده است. در برخی نمونهها نیز پیوست هرزنامه یک فایل Word با نامی تصادفی است که در صورت اجرای آن و فعال شدن بخش ماکرو در نرمافزار Office فایل باجافزار دریافت شده و دستگاه کاربر آلوده میشود.
گردانندگان باج افزار cerber استفاده از بستههای بهرهجوی Rig،وNeutrino و Magnitude را نیز در کارنامه خود دارند. این باجگیران با بکارگیری بستههای بهرهجو (Exploit Kit) از ضعفهای امنیتی موجود بر روی دستگاه سوءاستفاده نموده و اقدام به آلوده نمودن آنها میکنند.
نسخههای 4.1.0، 4.1.4 و 4.1.5 باج افزار cerber دستگاههای با برخی زبانها را که عمدتاً مربوط به کشورهای عضو اتحاد جماهیر شوروی سابق میشوند آلوده نمیکنند. این باجافزار از یک API با عنوان GetKeyboardLayoutList برای شناسایی مجموعه زبانها فعال شده بر روی سیستم عامل استفاده میکند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro در فاصله بین ماه مارس تا اواسط ماه نوامبر سال میلادی جاری، عمده سیستمهای هدف قرار گرفته شده توسط این باجافزار در کشورهای آمریکا، آلمان، ژاپن، استرالیا، چین، فرانسه، ایتالیا، کانادا و کره جنوبی بودهاند.
علاوه بر رمزنگاری فایلها بر روی درایوهای ثابت و حذفشدنی، باج افزار cerber اقدام به رمز کردن فایلهای موجود در پوشههای شبکهای اشتراکی و همینطور فایلهای ذخیره شده بر روی درایوهای RAM میکند.
همانطور که پیشتر در خبرها اشاره شد گونههای جدید این باجافزار – نسخه 4 و بعد از آن – فایلهای بانک داده (Database) را هدف قرار میدهند.
البته رمزنگاری فایلهای بانک داده منحصر به باجافزار Cerber نیست. در نیمه نخست سال 2016 باجافزارهای crypJOKER،وSURPRISE،وPowerWare و Emper نیز پسوند فایلهای مرتبط با بانکهای داده را به فهرست اهداف خود اضافه کردند. از جمله این فایلها میتوان به dBASEو(dbf.)،وMicrosoft Accessو(accdb.)،وAbility Databaseو(mdb.) و OpenOfficeو(odb.) اشاره کرد.
جالب اینکه Cerber از رمزنگاری فایلهای کپی شده در برخی مسیرهای مرتبط با نرمافزارهایی همچون Microsoft SQL Server و Office صرفنظر میکند.
همچنین Cerber ابتدا پروسه پایگاه داده را متوقف کرده و سپس اقدام به رمزنگاری فایلهای بانک داده میکند.
فایل پیکربندی نسخه 4.1.5 باج افزار cerber فهرست بلندبالایی از پسوندها را از جمله فایلهای بانک داده نرمافزارهای Microsoft Access،وOracle،وMySQL و SQL Server Agent و همچنین فایلهای مرتبط با برنامههای حسابداری، حقوق و دستمزد و سامانههای بیمارستانی را در خود دارد.
در مرداد ماه دو شرکت امنیتی CheckPoint Software و IntSight Cyber Intelligence یک گزارش تحلیلی درباره باجافزار Cerber و کسبوکار آن به عنوان یک سرویس نرمافزاری (Ransomware-as-a-Service) منتشر کردند. بر اساس آن گزارش، به طور متوسط باجافزار Cerber روزانه به هشت متقاضی به صورت سرویس نرمافزاری اجاره داده میشود. از این میزان دستگاه آلوده، تبهکاران سایبری توانستهاند در مدت یک ماه حدود 200 هزار دلار به صورت باج پرداختی از سوی قربانیان، درآمد کسب کنند که 40 درصد از آن به عنوان هزینه سرویس نرمافزاری به سازندگان اصلی باجافزار Cerber تعلق میگیرد. بدین ترتیب برآورد می شود که سازندگان Cerber سالانه نزدیک به یک میلیون دلار درآمد داشته باشند.
نمونههای بررسی شده در نسخههای 4.1.0 تا 4.1.5 باج افزار Cerber توسط ضدویروسهای McAfee،وBitdefender و ESET با نامهای زیر شناسایی میشود.
McAfee
– Ransomware-FQT!07BCE891B4BF
– NSIS/ObfusRansom.f
– Artemis!F563459047E3
– Ransomware-FQT!22C403F93D94
– Ransomware-FUO!31AFB68A1595
– RDN/Generic.dx
– Ransomware-FWM!F7019AE06219
– Ransomware-FWM!A170B3C37B0E
Bitdefender
– Trojan.Ransom.Cerber.BI
– Trojan.GenericKD.3712205
– Trojan.Ransom.Cerber.BY
– Gen:Variant.Razy.106932
– Trojan.Agent.CASM
– Gen:Variant.Graftor.312528
– Gen:Variant.Razy.51484
ESET
– a variant of Win32/Kryptik.FIVB
– NSIS/Injector.IZ
– NSIS/Injector.JH
– a variant of Win32/Kryptik.FJHG
– a variant of Win32/Kryptik.FJSQ
– a variant of Win32/Kryptik.FJFI