همه چیز درباره ویروس باج گیر سربر (Cerber)
ویروس سربر (Cerber) چیست؟
ویروس سربر نظیر ویروس «لاکی» در دستهبندی نرمافزارهای «باج گیر» قرار میگیرد. این ویروس فایلهای شخصی موجود در کامپیوتر قربانی را با الگوریتم RSA-2048 رمزنگاری و غیرقابل استفاده مینماید. به فایل های رمزنگاری شده پسوند .cerber3 اضافه شده و اسم فایل به حروف تصادفی (ده حرفی) تغییر میکند. مثلاً فایل عکسی به نام pishro.jpg به « G0S-4kha_j.cerber3 » تغییر میکند. این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیتکوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) مینماید همچنین به قربانی تذکر میدهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.
توجه مهم: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کردهاست به مطلب تهاجم گسترده ویروس باجگیر «واناکرای WannaCry» در بخش مقالات همین سایت مراجعه نمایید و به توصیههای داده شده عمل نمایید.
ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشهها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری میکند.
نحوه نفوذ سربر ۳
سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ میکند:
- آگهیهای تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی میفرستند.
- دانلود برنامههای کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد میشود.
- ایمیلهای ناشناس، تبلیغاتی و هرزنامهها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل ورد «word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی میشود.
- فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده میشوند.
سربر ۳ فایلهای مهم حاوی اطلاعات را هدف قرار میدهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص میدهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک میکند و فایلهای این محدوده از کشورها را رمزنگاری نمیکند.
نحوه خرابکاری ویروس سربر ۳
این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامههای اجرایی ویندوز مثلاً autochk.exe تغییر میدهد. سپس با دستکاری تنظیمات ویندوز باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» میشود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل میکند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایلهای شخصی قربانی میکند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشههای آلوده، با نامهای زیر قرارمیدهد و در آن آلوده شدن و رمزشدن فایلهای قربانی و دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح میدهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جملهای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن میشود «چیزی که مرا نمیکشد، من را قویتر میکند». اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده میشود!
هدف اصلی این ویروس رمزکردن محتوای فایلهای مهم و شخصی قربانی است، بطوری که فایلها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایلهای متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار میگیرند عبارتند از:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
ویروس باج گیر «سربر ۴»
متاسفانه باید به اطلاع شما برسانم، با اینکه هنوز مدت زیادی (حدود یک ماه) از پخش ویروس باج گیر «سربر ۳» نگذشته است، نسخه ۴ آن انتشار یافته و در حال آلوده کردن گسترده کامپیوترهای تمام دنیا است. از آنجایی که یکی از اهداف ویروس سربر ۴ از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنم از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.
بنابراین اگر در کامپیوتر خود با فایل « README.hta » برخورد کردهاید آلوده این ویروس شدهاید. پسوند hta. مخفف فایلهای Hypertext Application است که برنامههای مخصوص مرورگر مایکروسافت اینترنت اکسپلورر ۵ به بالا هستند. خاصیت آنها برای نویسندگان ویروس کاملاً مشخص است، اینگونه برنامهها امکان گذشتن از بخش امنیتی مرورگرها را دارند و براحتی میتوانند بخش registery ویندوز را دستکاری کنند.
تغییرات مهم ویروس باجگیر سربر ۴ نسبت به نسخه قدیمی:
- مجهز شدن به «سیستم ضد ردیابی» که مانع شناسایی آن توسط آنتی ویروس ها میشود.
- دور زدن تمام برنامه های ضد باج افزار شناخته شده.
- مجهز شدن به «سیستم ضد عبور» که با شناسایی دستکاری شدن یا از کار افتادن بخشی از فعالیت خود، واکنش نشان میدهد.
- استفاده از دامنههای «پیازی onion» که امکان ردیابی دامنه اصلی را سخت میکند.
- از کار انداختن بانکهای اطلاعاتی جهت رمزنگاری کردن فایلهای اطلاعاتی آنها.
- بیشتر شدن نوع فایلهای مورد حمله که از همه مهمتر فایلهای SQL Server است. این ویروس فایلهای mdf. و ldf. را رمزگذاری میکند و بانکهای اطلاعاتی را از کار میاندازد.
- و …
شناسایی ویروس سربر ۴ قبل از خرابکار
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار میگیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار میکند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظرهایی پر نشان داده میشود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی میکند و سپس آنها را رمز میکند سپس فایلهای قدیمی را پاک میکند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص میتوانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایل های شما را نجات میدهد. توجه داشته باشید که نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس میشوند.
نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروسها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتیویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیلهای تبلیغاتی یا ایمیلهای با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامههای آفیس، نظیر ورد و اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. به شما توصیه میکنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایلهای خود را بازیابی نمایید.
منبع: آنتی ویروس ایران
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.