همه چیز درباره ویروس باج گیر سربر (Cerber)

ویروس سربر (Cerber) چیست؟

ویروس سربر نظیر ویروس «لاکی» در دسته‌بندی نرم‌افزارهای «باج گیر» قرار می‌گیرد. این ویروس فایل‌های شخصی موجود در کامپیوتر قربانی را با الگوریتم RSA-2048 رمزنگاری و غیرقابل استفاده می‌نماید. به فایل های رمزنگاری شده پسوند .cerber3 اضافه شده و اسم فایل به حروف تصادفی (ده حرفی) تغییر می‌کند. مثلاً فایل عکسی به نام pishro.jpg به « G0S-4kha_j.cerber3 » تغییر می‌کند. این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیت‌کوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) می‌نماید همچنین به قربانی تذکر می‌دهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.

ویروس سربر

ویروس سربر (Cerber)

توجه مهم: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کرده‌است به مطلب  تهاجم گسترده ویروس باجگیر «واناکرای WannaCry»  در بخش مقالات همین سایت مراجعه نمایید و به توصیه‌های داده شده عمل نمایید.

ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشه‌ها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری می‌کند.

نحوه نفوذ سربر ۳

سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ می‌کند:

  1. آگهی‌های تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی می‌فرستند.
  2. دانلود برنامه‌های کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد می‌شود.
  3. ایمیل‌های ناشناس، تبلیغاتی و هرزنامه‌ها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل ورد «word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی می‌شود.
  4. فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده می‌شوند.

سربر ۳ فایل‌های مهم حاوی اطلاعات را هدف قرار می‌دهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص می‌دهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک می‌کند و فایلهای این محدوده از کشورها را رمزنگاری نمی‌کند.

نحوه خرابکاری ویروس سربر ۳

این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامه‌های اجرایی ویندوز مثلاً autochk.exe تغییر می‌دهد. سپس با دستکاری تنظیمات ویندوز باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» می‌شود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل می‌کند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایل‌های شخصی  قربانی می‌کند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشه‌های آلوده، با نام‌های زیر قرارمی‌دهد و در آن آلوده شدن و رمزشدن فایل‌های قربانی و  دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح می‌دهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جمله‌ای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن می‌شود «چیزی که مرا نمی‌کشد، من را قوی‌تر می‌کند». اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده می‌شود!

نحوه خرابکاری ویروس سربر ۳

هدف اصلی این ویروس رمزکردن محتوای فایل‌های مهم و شخصی قربانی است، بطوری که فایل‌ها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایل‌های متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار می‌گیرند عبارتند از:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

بهتر است بدانید:

متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه بابت هر دستگاه جداگانه باید مبلغ باج پرداخت شود.

ویروس باج گیر «سربر ۴»

متاسفانه باید به اطلاع شما برسانم، با اینکه هنوز مدت زیادی (حدود یک ماه) از پخش ویروس باج گیر «سربر ۳» نگذشته است، نسخه ۴ آن انتشار یافته و در حال آلوده کردن گسترده کامپیوترهای تمام دنیا است. از آنجایی که یکی از اهداف ویروس سربر ۴ از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنم از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.

بنابراین اگر در کامپیوتر خود با فایل « README.hta » برخورد کرده‌اید آلوده این ویروس شده‌اید. پسوند hta.  مخفف فایلهای Hypertext Application است که برنامه‌های مخصوص مرورگر مایکروسافت اینترنت اکسپلورر ۵ به بالا هستند. خاصیت آنها برای نویسندگان ویروس کاملاً مشخص است، اینگونه برنامه‌ها امکان گذشتن از بخش امنیتی مرورگرها را دارند و براحتی می‌توانند بخش registery ویندوز را دستکاری کنند.

مقایسه ویروس های باج گیر سربر

تغییرات مهم ویروس باجگیر سربر ۴ نسبت به نسخه قدیمی:

  • مجهز شدن به «سیستم ضد ردیابی» که مانع شناسایی آن توسط آنتی ویروس ها می‌شود.
  • دور زدن تمام برنامه های ضد باج افزار شناخته شده.
  • مجهز شدن به «سیستم ضد عبور» که با شناسایی دستکاری شدن یا از کار افتادن بخشی از فعالیت خود، واکنش نشان می‌دهد.
  • استفاده از دامنه‌های «پیازی onion» که امکان ردیابی دامنه اصلی را سخت می‌کند.
  • از کار انداختن بانکهای اطلاعاتی جهت رمزنگاری کردن فایلهای اطلاعاتی آنها.
  • بیشتر شدن نوع فایلهای مورد حمله که از همه مهمتر فایلهای SQL Server است. این ویروس فایلهای mdf. و ldf. را رمزگذاری می‌کند و بانکهای اطلاعاتی را از کار می‌اندازد.
  • و …

شناسایی ویروس سربر ۴ قبل از خرابکار

اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایل های شما را نجات می‌دهد. توجه داشته باشید که نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

نتیجه گیری

بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایل‌های خود را بازیابی نمایید.

منبع: آنتی ویروس ایران

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *