کمیته رکن چهارم – اخیراً در سطح شبکه اینترنت یک باج افزار جدید مشاهده شده است که پس از رمزکردن موفقیت آمیز فایل ها، این اتفاق را به صورت صوتی به قربانی خبر می دهد.
به گزارش کمیته رکن چهارم،این باج افزار که نام آن cerber می باشد، برای رمزکردن فایل ها از الگوریتم رمزنگاری AES استفاده می کند و برای رمزگشایی فایل ها مبلغ ۱٫۲۴ بیت کوین (تقریباً معادل ۵۰۰ دلار) از قربانی درخواست می کند.
این باج افزار پس از نفوذ به سیستم، ابتدا بررسی می کند که آیا قربانی در یکی از کشورهای اروپای شرقی قرار دارد یا خیر. در صورتی که قربانی در یکی از این کشورها باشد، باج افزار عمل نمی کند و سیستم را آلوده نمی کند. ولی اگر قربانی در کشوری به غیر از کشورهای اروپای شرقی قرار داشته باشد، باج افزار خودش را به عنوان یک فایل اجرایی تصادفی(.exe) بر روی سیستم قربانی نصب می کند. این فایل به صورتی کدنویسی شده است که هر یک دقیقه یک بار اجرا می شود. در هر بار اجرای این فایل یک پیغام خطای جعلی به صورت تصادفی انتخاب و نمایش داده می شود و تلاش می کند تا کاربر را وادار به خاموش کردن و یا restart کردن سیستم کند. در زیر نمونه ای از این پیام ها نشان داده شده است:
You are about to be logged off
This directory service is shutting down, and cannot take ownership of new floating single-master operation roles.
این پیغام ها به طور مرتب تکرار می شوند تا اینکه کاربر سیستم را بازنشانی کند. هنگامیکه کاربر سیستم را خاموش و یا بازنشانی کند، زمانی که سیستم دوباره راه اندازی می شود به درون محیط safe mode هدایت می-شود. پس از وارد شدن به این محیط سیستم reset می شود و به طور معمول شروع به کار می کند. بعد از این مرحله باج افزار شروع به رمزکردن فایل ها می کند و به هر کدام از آن ها پسوند .CERBER را اضافه میکند.
البته این باج افزار کارهای دیگری نیز انجام می دهد. باج افزار cerber قادر به اسکن کل سیستم و شناسایی پوشه های به اشتراک گذاشته شده و رمزنگاری تمامی اطلاعات موجود بر روی آنها می باشد. اگر در تنظیمات مربوط به شبکه، network setting درون فایل تنظیمات بر روی مقدار ۱ تنظیم شده باشد، باج افزار cerber شروع به جستجو و رمزنگاری تمامی مکان های به اشتراک گذاشته شده و قابل دسترس بر روی شبکه میکند (حتی اگر این مکان ها بر روی سیستم map نشده باشند).
البته به گفته محققان، این ویژگی در حال حاضر غیرفعال می باشد. به هر حال به مدیران شبکه توصیه میشود که تنظیمات مربوط به مکان های به اشتراک گذاشته شده در شبکه را به طور دقیق بررسی و تنظیم کنند.
هنگامی که باج افزار فایل های مورد نظرش را به طور موفقیت آمیز رمز کرد، سه فایل تولید میکند. یکی از این فایلها با نام # DECRYPT MY FILES #.vbs بوده که حاوی یک کد VBScript می باشد. این کد که در زیر آورده شده است به سیستم این امکان را می دهد که پیغامهای مورد نظر باج افزار را برای فرد قربانی به صورت صوتی پخش کند.
در حال حاضر در مورد این باج افزار هیچ روشی به طور رایگان برای بازگرداندن فایل های رمزشده وجود ندارد و تنها راه، پرداخت مبلغ مورد درخواست باج افزار می باشد. نکته قابل توجه این است که اگر مبلغ مورد نظر در مدت زمان یک هفته پرداخت نگردد، این مبلغ دو برابر می شود.
این باج افزار ضمن رمزنگاری فایل های موجود در مکان های به اشتراک گذاشته شده در شبکه، با دوازده زبان مختلف نیز سازگار می باشد. این ویژگی ها گواه پیچیده تر شدن باج افزارها با گذشت زمان می باشند.
از اینرو اکیداً توصیه می شود که کاربران به طور متناوب از اطلاعات حساس خود نسخه پشتیبان تهیه نمایند. همچنین برای جلوگیری از آلوده شدن سیستم از کلیک بر روی لینک های مشکوک خودداری نموده و آنتی ویروس سیستم را به طور مرتب به روزرسانی کنند.
منبع:رسانه خبری امنیت اطلاعات
