فایل‌های بانک داده‌، هدف جدید باج‌افزار Cerber

به گزارش شرکت مهندسی شبکه گستر، شرکت امنیتی McAfee از انتشار گونه‌ای جدید از باج‌افزار معروف و مخرب Cerber خبر داده که تغییرات عمده‌ای نسبت به نسخه‌های پیشین خود داشته است. 

به گفته محققان شرکت McAfee، نخستین تغییر در نسخه جدید مربوط به پسوند فایل‌های رمزشده است. در نسخه‌های پیشین این باج‌افزار یکی از دو عبارت cerber یا #cerber که در آن # نمایانگر شماره نسخه باج‌افزار است به عنوان پسوند به فایل‌های رمزشده الصاق می‌شد. حال آنکه در نسخه جدید بجای این عبارات در هر آلودگی چهار نویسه بصورت تصادفی ایجاد می‌شود.

تغییر دوم مربوط به دستورالعمل پرداخت باج است. نسخه جدید، دستورالعمل را در قالبی شکیل‌تر و با طراحی حرفه‌ای‌تر نمایش می‌دهد. عاملی که ممکن است سبب اطمینان بیشتر قربانی به بازگشت فایل‌ها در صورت پرداخت باج شود.

 

آخرین و با اهمیت‌ترین تغییر، هدف قرار گرفتن فایل‌های بانک داده (Database) در نسخه جدید است. با توجه به اینکه امکان دست‌درازی به فایل در زمان استفاده شدن از آن توسط یک برنامه فراهم نیست، نسخه جدید Cerber ابتدا پروسه پایگاه داده را متوقف کرده و سپس اقدام به رمزنگاری فایل‌های بانک داده می‌کند. فایل‌هایی که معمولاً بالاترین درجه اهمیت را به خصوص در روال اجرایی امور کسب‌وکارها و سازمان ها دارند.

رویکرد جدید گردانندگان باج‌افزار Cerber نقطه عطفی در تاریخ این باج‌افزار محسوب می‌شود. چرا که در نسخه جدید بر باج‌گیری از کسب‌وکارها و سازمان‌ها تمرکز بیشتری صورت گرفته است. 

با توجه به حجم تبلیغات برای این باج‌افزار به زبان روسی، احتمالاً باج افزار Cerber در کشور روسیه طراحی و ساخته شده است. به همین دلیل هم این باج‌افزار هیچ قربانی در کشورهای اتحاد جماهیر شوروی سابق (ارمنستان، آذربایجان، بلاروس، گرجستان، قزاقستان، قرقیزستان، تاجیکستان و…) نمی‌گیرد و آلودگی ایجاد نمی‌کند تا گرفتار قوانین مشترک بین این کشورها نشود.

اما بجز روسیه سایر کشورهای جهان از جمله ایران از اهداف این باج‌افزار بوده و هستند. برآورد می‌شود که گردانندگان Cerber سالانه درآمدی بین 1 تا 2/5 میلیون دلار داشته باشند. 

در مرداد ماه دو شرکت امنیتی CheckPoint Software و IntSight Cyber Intelligence یک گزارش تحلیلی درباره باج‌افزار Cerber و کسب‌وکار آن به عنوان یک سرویس نرم‌افزاری (Ransomware-as-a-Service) منتشر کردند. بر طبق آن گزارش، تنها در طی یک ماه ۱۵۰ هزار کامپیوتر در ۲۰۱ کشور آلوده به باج افزار Cerber شده بودند.

برای ایمن ماندن از گزند این باج‌افزارها، رعایت موارد زیر توصیه می‌شود:

• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی بصورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه دخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر می‌خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
• ایمیل‌های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
• در دوره‌های آگاهی‌رسانی شرکت مهندسی شبکه گستر، شرکت کنید. شرکت در این دوره‌ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.