مراقبت ویژه باج‌افزار Cerber از محصولات امنیتی!

از زمان انتشار Cerber در اواخر سال 94، صاحبان آن بطور پیوسته در حال تکامل این باج‌افزار بوده‌اند. Cerber به سبب دارا بودن خصوصیات خاص همواره در کانون توجه بوده است.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت Trend Micro، نویسندگان این باج‌افزار در جدیدترین نسخه از Cerber بخشی را اضافه نموده‌اند که وظیفه آن شناسایی نرم‌افزارهای امنیتی نصب شده بر روی دستگاه و عدم رمزگذاری فایل‌های متعلق به آنهاست.

بطور معمول هدف باج‌افزارهای رمزگذار، رمز کردن داده‌های کاربر است. برای این منظور معمولاً این باج‌افزارها فایل‌های با پسوندهای خاص را هدف قرار می‌دهند و به فایل‌های اجرایی دست‌درازی نمی‌کنند.

در نسخه جدید Cerber نصب بودن نرم افزار امنیتی از طریق امکان Windows Management Interface – به اختصار WMI – مورد بررسی قرار می‌گیرد. در این نسخه با استفاده از سه Class زیر در WMI محصولات امنیتی نصب شده بر روی دستگاه شناسایی می‌شوند:

• FirewallProduct
• AntiVirusProduct
• AntiSpywareProduct

این سه Class، همانطور که از نامشان پیداست مربوط به محصولات دیواره آتش، ضدویروس و ضدجاسوس‌افزار می‌شوند.

نسخه جدید Cerber پس از شناسایی هر یک از این محصولات، مسیر نصب آنها را به فهرست سفید خود اضافه کرده و از رمزگذاری فایل‌های آنها خودداری می‌کند.

مشخص نیست هدف نویسندگان Cerber از اضافه کردن این کدها چه بوده است. از نسخه‌های پیشین، پوشه‌های نصبی نرم‌افزارها و پوشه Windows در فهرست سفید این باج‌افزار قرار داشته‌اند. ضمن اینکه فایل‌های با پسوند exe و dll در این باج‌افزار مورد دست‌درازی قرار نمی‌گیرند. 

سایر رفتارهای نسخه جدید مشابه نسخه قبلی آن است. مبلغ باج همچنان 1 بیت‌کوین (معادل حدود 1000 دلار است) که در صورت عدم پرداخت طی 5 روز دو برابر می‌شود.