باج افزار سربر

Cerber خانواده ای از باج افزارها، نوعی نرم افزار مخرب است که پس از نصب بر روی رایانه قربانی، فایل های آنها را رمزگذاری می کند و آنها را غیرقابل دسترسی می کند. مهاجمان سپس در ازای دریافت کلید رمزگشایی درخواست باج می کنند.

تاریخچه باج افزار Cerber

Cerber برای اولین بار در مارس 2016 در طبیعت مشاهده شد، به عنوان یک سرویس فروخته شده در فروم های زیرزمینی روسیه. به دلیل مدل «Ransomware as a Service» (RaaS) که حتی مجرمان فنی بی‌تجربه را قادر می‌سازد حملات باج‌افزاری را انجام دهند، به سرعت شهرت یافت.

آشنایی با باج افزار Cerber

Cerber با نفوذ به یک سیستم کامپیوتری، معمولاً از طریق یک پیوست ایمیل مخرب، دانلود وب یا کیت بهره برداری عمل می کند. پس از اجرا، سربر سیستم را برای فایل های داده اسکن می کند و فرآیند رمزگذاری را با استفاده از رمزگذاری قوی AES-256 آغاز می کند. فایل ها تغییر نام داده می شوند و پسوند '.cerber' یا '.cerber2' به هر فایل رمزگذاری شده اضافه می شود.

پس از تکمیل رمزگذاری، باج‌افزار یادداشت باج‌گیری را که اغلب به نام «# DECRYPT MY FILES #.txt» یا «.html» نامیده می‌شود، ارسال می‌کند که قربانی را در مورد رمزگذاری مطلع می‌کند و برای رمزگشایی، معمولاً به بیت‌کوین، باج می‌خواهد. کلید

باج افزار سربر: نگاهی به درون

سربر از تعدادی استراتژی فنی برای فرار از تشخیص، به حداکثر رساندن عفونت و خنثی کردن تجزیه و تحلیل استفاده می کند. این شامل:

1. تکنیک های ضد تجزیه و تحلیل: سربر از چندین تکنیک برای خنثی کردن تحلیل پزشکی قانونی استفاده می کند، مانند مبهم سازی کد و بسته بندی. این می تواند تشخیص دهد که آیا در یک جعبه ماسه ای یا ماشین مجازی در حال اجرا است یا خیر و برای جلوگیری از شناسایی، خود را خاتمه دهد.

2. مکانیسم های پایداری: برای اطمینان از باقی ماندن آن در سیستم آلوده، Cerber با ایجاد کلیدهای رجیستری، وظایف زمان‌بندی شده یا استفاده از پوشه‌های راه‌اندازی، پایداری را ایجاد می‌کند.

3. ارتباطات شبکه ای: پس از آلوده شدن، سربر با سرورهای فرمان و کنترل خود (C&C) ارتباط برقرار می کند و اغلب از الگوریتم تولید دامنه (DGA) برای تولید نام های دامنه جدید و غیرقابل انسداد برای این سرورها استفاده می کند.

ویژگی های کلیدی باج افزار Cerber

در اینجا برخی از ویژگی های متمایز باج افزار Cerber آورده شده است:

1. هشدار صوتی: سربر به دلیل ویژگی غیرمعمول خود در استفاده از موتور تبدیل متن به گفتار برای اطلاع رسانی به قربانیان که فایل های آنها رمزگذاری شده است، شناخته شده است.

2. مدل RaaS: سربر به دلیل مدل RaaS خود محبوبیت پیدا کرد، جایی که سازندگان بدافزار باج‌افزار را به مجرمان دیگر برای سهمی از سود اجاره می‌دهند.

3. تاب آوری: استفاده از DGA برای ارتباطات C&C و به روز رسانی های مکرر آن را در برابر اقدامات متقابل انعطاف پذیر می کند.

انواع باج افزار Cerber

سربر در طول زمان تکامل یافته است و انواع مختلفی شناسایی شده است. در اینجا چند مورد کلیدی وجود دارد:

پیامدها و کاهش باج افزار Cerber

تأثیر Cerber می تواند شدید باشد، از جمله ضررهای مالی ناشی از پرداخت باج و اختلال در تجارت. مهم است که به طور منظم از فایل های مهم نسخه پشتیبان تهیه کنید، نرم افزار آنتی ویروس را به روز نگه دارید و به کارکنان در مورد خطرات ایمیل های فیشینگ و دانلودهای مشکوک آموزش دهید.

در صورت عفونت، به طور کلی توصیه می شود که باج را پرداخت نکنید، زیرا این امر بازیابی فایل ها را تضمین نمی کند و فعالیت های مجرمانه بیشتر را تشویق می کند.

مقایسه با باج افزار مشابه

در اینجا مقایسه ای از Cerber با سایر باج افزارهای مشابه است:

آینده باج افزار

انتظار می‌رود باج‌افزارهایی مانند Cerber پیچیده‌تر شوند و از تکنیک‌های پیشرفته فرار و پایداری استفاده کنند. استفاده از یادگیری ماشین و هوش مصنوعی توسط مدافعان امنیت سایبری و مهاجمان احتمالاً چشم انداز آینده را شکل خواهد داد.

سرورهای پروکسی و باج افزار Cerber

سرورهای پروکسی می توانند به طور غیر مستقیم در حملات باج افزار نقش داشته باشند. مهاجمان ممکن است از سرورهای پروکسی برای مخفی کردن آدرس های IP واقعی خود استفاده کنند و ردیابی فعالیت های آنها را سخت تر کند. با این حال، سرورهای پروکسی نیز می توانند بخشی از دفاع باشند. سازمان‌ها می‌توانند از پروکسی‌ها برای بازرسی ترافیک ورودی برای یافتن نشانه‌های باج‌افزار و مسدود کردن محتوای مخرب استفاده کنند.

لینک های مربوطه

1. آشنایی با باج افزار Cerber – TrendMicro
2. رمزگشایی پس از حمله سربر - کسپرسکی
3. چگونه در برابر باج افزار محافظت کنیم - نورتون