مخربتر شدن باجافزار مخرب Cerber
نویسندگان باجافزار Cerber با ارتقاهای مستمر آن، افزودن قابلیتهای عبور از سد فناوریهای ضدبدافزار و از همه مهمتر عرضه آن در قالب خدمات باجافزار به عنوان سرویس (Rasnomware-as-a-Service) همواره توانستهاند که سهم قابل توجهی از بازار باجافزارها را در اختیار داشته باشند.
به گزارش شرکت مهندسی شبکه گستر، نسخه جدیدی از این باجافزار در حال انتشار است که علاوه بر رمزگذاری فایلهای پراستفاده، اقدام به سرقت فایل برنامههای موسوم به کیف بیتکوین و گذرواژههای ذخیره شده در مرورگر کاربر میکند.
روش اصلی انتشار این نسخه نیز مشابه بسیاری از نسخههای قبلی هرزنامههای با پیوست مخرب است. پیوست این هرزنامهها نیز فایلی فشرده شده با پسوند ZIP است که در درون آن یک فایل JavaScript مخرب جاسازی شده است.
وظیفه فایل JavaScript دریافت باجافزار Cerber از اینترنت و اجرای آن بر روی دستگاه قربانی است.
نسخه جدید علاوه بر رمزگذاری فایلهای کاربر، فایلهای با مشخصات زیر را نیز از روی دستگاه به سرور فرماندهی ویروسنویسان ارسال کرده و سپس نسبت به حذف آنها اقدام میکند.
- wallet.dat
- *.wallet
- electrum.dat
خوشبختانه داشتن این فایلها لزوماً به معنای امکان دست یافتن به بیتکوینهای ذخیره شده در آنها نیست و برای این منظور به گذرواژهای که از برنامه مربوطه حافظت میکند نیز نیاز است. کاری که حداقل این نسخه جدید Cerber آن را انجام نمیدهد.
البته خرابکاریهای نسخه جدید Cerber به اینجا ختم نمیشود؛ نسخه جدید سعی میکند گذرواژههای ذخیره شده در مرورگرهای Internet Explorer،و Google Chrome و Mozilla Firefox را نیز سرقت کند.
باید توجه داشت که فرآیند سرقت پیش از رمزگذاری فایلها انجام میپذیرد.
توضیح نسخه جدید باجافزار Cerber توسط ضدویروسهای McAfee و Bitdefender بترتیب با نامهای Ransomware-GBN!45C304844C66 و Trojan.Ransom.Cerber.XZ شناسایی میشوند.