به‌روزرسانی‌های پی در پی ِ باج‌افزار Cerber

۷نویسندگان باج‌افزار Cerber در طول این هفته ۳ بار این بدافزار را به‌روزرسانی کردند. یکی از تغییرات قابل توجه در این نسخه از باج‌افزار نیز اضافه شدن بازه‌ی IP جدید است.

این باج‌افزار که برای اولین بار در اسفند ماه مورد بررسی قرار گرفت از شیوه‌ای متفاوت برای نمایش پیغام باج استفاده می‌کرد. این باج‌افزار حاوی یک پرونده اسکریپت ویژوال بیسیک با پسوند vbs. است که از طریق آن ماشین آلوده می‌تواند با مهاجم صحبت کند. این باج‌افزار پسوند CERBER. را به انتهای پرونده‌های رمزنگاری‌شده اضافه کرده و حتی پرونده‌های اشتراکی شبکه را نیز برای رمز کردن جستجو می‌کند.

از اسفند ماه تاکنون به‌روزرسانی‌های متعددی برای این باج‌افزار ارائه شده است. دومین نسخه از Cerber در مرداد ماه منتشر شد. این بدافزار در قالب باج‌افزار به‌عنوان سرویس در بازارهای زیرزمینی به نفوذگران فروخته می‌شد و تخمین زده می‌شد نویسندگان این باج‌افزار سالانه درآمدی معادل با ۲.۳ میلیون دلار داشته باشند.
نسخه‌ی ۴.۰ که آخرین نسخه از این بدافزار محسوب می‌شد، تقریباً یک و نیم ماه پیش منتشر شد. فاصله‌ی بین انتشار نسخه‌ی ۴ و ۳ این بدافزار تقریباً یک ماه بود. نسخه‌ی ۴ تقریباً یک هفته بعد از انتشار فرآیندهای مربوط به پایگاه داده را هدف قرار داده بود و برای رمزنگاری پایگاه‌ها داده‌ها به این فرآیندها خاتمه می‌داد.

روز پنج‌شنبه محققان امنیتی مشاهده کردند با فاصله‌ی ۲۴ ساعته از انتشار نسخه‌ی ۴.۱.۶، نسخه‌ی ۵.۰ این با‌ج‌افزار منتشر شد. چند ساعت بعد نیز نسخه‌ی ۵.۰.۱ ظاهر شد و این نشان می‌دهد نویسندگان این بدافزار سخت در تلاش هستند تا نرم‌افزار خود را به‌روز نگه دارند.
وقتی محققان امنیتی نسخه‌ی ۵.۰ را تحلیل و بررسی کردند، متوجه شدند این باج‌افزار از بازه‌ی IP جدیدی برای ارتباط با کارگزار دستور و کنترل استفاده می‌کند. یکی از این بازه‌های IP در نسخه‌ی ۴.۱.۶ نیز وجود داشت ولی آن‌طور که به نظر می‌رسد بقیه‌ی بازه‌ها جدید هستند. محققان امنیتی توضیح دادند درست مانند قبل، این بدافزار پیام‌های خود به این آدرس‌های IP را از طریق UDP به‌طور همه‌پخشی ارسال می‌کند.

یکی دیگر از تغییرات در نسخه‌ی جدید این است که موقع رمزنگاری پرونده از ۶۴۰ بایت صرف‌نظر می‌کند (قبلاً از ۵۱۲ بایت صرف‌نظر می‌کرد) و نمی‌تواند پرونده‌های کوچک‌تر از ۲۵۶۰ بایت را رمزنگاری کند. علاوه بر این این باج‌افزار پرونده‌هایی با پسوند secret. را نیز هدف قرار خواهد داد.
در حال حاضر این باج‌افزار از طریق هرزنامه‌ها و کیت‌های بهره‌برداری به‌ویژه کیت Rig-V توزیع می‌شود. مانند نسخه‌های قبلی، بدافزار یک عبارت ۴ حرفی از حروف الفبا به‌طور تصادفی تولید کرده و به‌عنوان پسوند پرونده‌ی رمزنگاری‌شده در نظر می‌گیرد.

محققان امنیتی می‌گویند این باج‌افزار به جستجوی پایگاه‌ داده‌ها و پرونده‌های مرتبط با آن ادامه داده و می‌تواند هر نوع پایگاه داده‌ای را رمزنگاری کند. بدافزار پیغام باج‌خواهی را بر روی دسکتاپ قربانی قرار می‌دهد و به همراه آن یک پرونده‌ی تعاملی با پسوند hta. نیز وجود دارد که اطلاعات مختلفی در مورد باج و نحوه‌ی پرداخت را به زبان‌های مختلف به قربانی ارائه می‌دهد. سایر ویژگی‌ها همان‌هایی است که در نسخه‌های قبلی نیز وجود داشت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter