نسخه جدید از باج‌افزار Cerber

نسخه‌ی به روزرسانی‌شده جدید باج‌افزار Cerber از اشکال جدیدی در پرونده‌ها استفاده می‌کند که ابزارهای قبلی رمزگشایی را بی‌استفاده کرده است.

این نسخه جدید Cerber به‌وسیله‌ی پژوهشگر شرکت Trend Micro به نام پانیکال شناسایی شده است. این بدافزار پسوند cerber۲ را به پرونده‌های رمزنگاری‌شده اضافه می‌کند و عین حال برخی دیگر از تغییرات روی آن‌ها صورت می‌دهد.

باج‌افزار اولیه‌ی Cerber در اوایل ماه مارس ظاهر شد و قابلیت‌هایی را ارائه کرد که دیگر باج‌افزارها نداشتند: این باج‌افزار یک کد VBScript را در درون یک پرونده‌ی .vbs اجرا می‌کرد و موجب می‌شد تا رایانه‌های آلوده با قربانیان صحبت کنند. این بدافزار باعث می‌شد تا ویندوز در حالت Safe Mode به همراه قابلیت شبکه راه‌اندازی شود و خود را به‌گونه‌ای پیکربندی می‌کرد تا در بالا آمدن ویندوز اجرا شده و هر یک دقیقه اجرا شود.

از ماه مارس، باج‌افزار Ceber در چندین حمله دیده شده است و حتی با حملات منع سرویس توزیع شده DDoS نیز مرتبط بوده است. در ماه ژوئن هنگامی‌که با از کار افتادن Necurs توزیع باج‌افزار Locky متوقف شد، فعالیت باج‌افزار Cerber تشدید یافت. این باج‌افزار هر ۱۵ ثانیه تغییر شکل می‌داد تا از تشخیص داده شدن، جلوگیری کند و به کاربران Office ۳۶۵ حمله کرده و علاوه ‌بر این در حملات بزرگ بین‌المللی نیز دیده شده است.

محققان موفق شدند همچون سایر خانواده‌های دیگر این نرم‌افزار یک ابزار رمزگشایی برای باج‌افزار Ceber بسازند، اما باج‌افزار تازه کشف‌شده‌ی Ceber ۲ این نقطه‌ضعف را که برای آن اتفاق افتاده بود از بین برده است. علاوه بر این، به‌روزرسانی این باج‌افزار شامل تغییراتی دیگری نیز بوده و مانع کشف شدن و تجزیه و تحلیل می‌شود.

Ceber ۲ از بسته‌ای استفاده می‌کند که موجب مخفی کردن کد مخرب آن می‌شود. بهبود عمده‌ای که در این نسخه نسبت به نسخه قبل صورت گرفته است این است که از API CryptGenRandom برای تولید کلیدهای استفاده‌شده برای رمزنگاری بهره می‌برد. این نوع جدید یک کلید ۳۲ بایتی را تولید می‌کند در حالی‌که نسخه‌های قبل از آن کلیدهای ۱۶ بایتی ایجاد می‌کردند.

همچنین این باج‌افزار یک فهرست سیاه از ضدبدافزارها را در پرونده‌ی تنظیمات خود دارد که شامل اسامی برخی از محبوب‌ترین ضدبدافزارهایی هستند که وجود دارند. همچنین یک فهرست سیاه از چندین کشور از جمله روسیه را نیز با خود دارد و مجموعه‌ای از بررسی‌ها را بر روی سامانه‌های آلوده انجام می‌دهد از جمله به بررسی زبان و کشور قربانی،‌ حضور ماشین مجازی و مجموعه‌ای از فرآیندهای در حال اجرا می‌پردازد.

به گفته‌ی BleepingComputer، همچنین چندین تغییر بصری در این باج‌افزار دیده می‌شود، همچون استفاده از آیکون بازی Anka برای بچه‌ها. تصویر زمینه‌ای که برای Ceber ۲ گذاشته شده است، به یک پس‌زمینه پیکسلی تغییر یافته که به کاربران اطلاع می‌دهد که «اسناد، تصاویر، پایگاه‌های داده و سایر پرونده‌های آن‌ها هم رمزنگاری شده‌اند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap