Cerber ialah keluarga perisian tebusan, sejenis perisian hasad, yang pernah dipasang pada komputer mangsa, menyulitkan fail mereka, menjadikannya tidak boleh diakses. Penyerang kemudian menuntut bayaran tebusan sebagai balasan untuk kunci penyahsulitan.
Sejarah Cerber Ransomware
Cerber pertama kali diperhatikan di alam liar pada Mac 2016, sebagai perkhidmatan yang dijual di forum bawah tanah Rusia. Ia segera mendapat kemasyhuran kerana model 'Ransomware as a Service' (RaaS), yang membolehkan penjenayah yang tidak berpengalaman secara teknikal melancarkan serangan ransomware.
Memahami Cerber Ransomware
Cerber beroperasi dengan menyusup ke sistem komputer, biasanya melalui lampiran e-mel berniat jahat, muat turun web atau kit eksploitasi. Selepas pelaksanaan, Cerber mengimbas sistem untuk fail data dan memulakan proses penyulitan, menggunakan penyulitan AES-256 yang kuat. Fail tersebut dinamakan semula dan sambungan '.cerber' atau '.cerber2' ditambahkan pada setiap fail yang disulitkan.
Setelah penyulitan selesai, perisian tebusan mengeluarkan nota tebusan, sering dinamakan '# DECRYPT MY FILES #.txt' atau '.html', yang memberitahu mangsa tentang penyulitan dan menuntut bayaran tebusan, biasanya dalam Bitcoin, untuk penyahsulitan kunci.
Cerber Ransomware: Pandangan Dalaman
Cerber menggunakan beberapa strategi teknikal untuk mengelak pengesanan, memaksimumkan jangkitan, dan menggagalkan analisis. Ini termasuk:
-
Teknik Anti-Analisis: Cerber menggunakan beberapa teknik untuk menggagalkan analisis forensik, seperti pengeliruan kod dan pembungkusan. Ia boleh mengesan jika ia berjalan dalam kotak pasir atau mesin maya dan menamatkan dirinya untuk mengelakkan pengesanan.
-
Mekanisme Kegigihan: Untuk memastikan ia kekal pada sistem yang dijangkiti, Cerber mewujudkan kegigihan dengan mencipta kunci pendaftaran, tugas berjadual atau menggunakan folder permulaan.
-
Komunikasi Rangkaian: Selepas jangkitan, Cerber berkomunikasi dengan pelayan arahan dan kawalannya (C&C), selalunya menggunakan Algoritma Penjanaan Domain (DGA) untuk menjana nama domain baharu yang sukar disekat untuk pelayan ini.
Ciri Utama Cerber Ransomware
Berikut ialah beberapa ciri membezakan perisian tebusan Cerber:
-
Makluman Suara: Cerber terkenal dengan ciri luar biasa menggunakan enjin teks ke pertuturan untuk memaklumkan mangsa bahawa fail mereka telah disulitkan.
-
Model RaaS: Cerber mendapat populariti kerana model RaaSnya, di mana pencipta perisian hasad menyewa perisian tebusan kepada penjenayah lain untuk berkongsi keuntungan.
-
Ketahanan: Penggunaan DGA untuk komunikasi C&C dan kemas kini yang kerap menjadikannya berdaya tahan terhadap tindakan balas.
Varian Cerber Ransomware
Cerber telah berkembang dari semasa ke semasa, dengan beberapa varian dikenal pasti. Berikut adalah beberapa yang penting:
| Pelbagai | Ciri-ciri Terkenal |
|---|---|
| Cerber v1 | Versi awal, nota tebusan bernama '# DECRYPT MY FILES #.txt' atau '.html' |
| Cerber v2 | Memperkenalkan teknik anti-AV, membetulkan pepijat |
| Cerber v3 | Pengubahsuaian kecil, serupa dengan v2 |
| Cerber v4 | Memperkenalkan sambungan 4 aksara rawak kepada fail yang disulitkan |
| Cerber v5 | Kelajuan penyulitan dipertingkat, menyasarkan rangkaian perusahaan yang lebih besar |
| Cerber v6 | Memperkenalkan teknik anti-analisis untuk memintas pengesanan pembelajaran mesin |
Implikasi dan Pengurangan Cerber Ransomware
Kesan Cerber boleh menjadi teruk, termasuk kerugian kewangan daripada membayar wang tebusan dan gangguan perniagaan. Adalah penting untuk kerap menyandarkan fail penting, menyelenggara perisian antivirus yang dikemas kini dan mendidik pekerja tentang risiko e-mel pancingan data dan muat turun yang mencurigakan.
Sekiranya berlaku jangkitan, biasanya dinasihatkan supaya tidak membayar wang tebusan kerana ini tidak menjamin pemulihan fail dan menggalakkan aktiviti jenayah selanjutnya.
Perbandingan dengan Ransomware Serupa
Berikut ialah perbandingan Cerber dengan perisian tebusan serupa yang lain:
| Perisian tebusan | Kaedah Pembayaran | Algoritma Penyulitan | Ciri-ciri Terkemuka |
|---|---|---|---|
| Cerber | Bitcoin | AES-256 | RaaS, Makluman Suara |
| Berkunci | Bitcoin | RSA-2048 | Jumlah tebusan berubah-ubah |
| CryptoLocker | Bitcoin | RSA-2048 | Perisian tebusan pertama yang tersebar luas |
| WannaCry | Bitcoin | AES-256, RSA-2048 | Kerentanan MS17-010 yang dieksploitasi |
Masa Depan Ransomware
Perisian tebusan seperti Cerber dijangka menjadi lebih canggih, memanfaatkan teknik pengelakan dan kegigihan lanjutan. Penggunaan pembelajaran mesin dan AI oleh kedua-dua pembela keselamatan siber dan penyerang berkemungkinan membentuk landskap masa depan.
Pelayan Proksi dan Cerber Ransomware
Pelayan proksi secara tidak langsung boleh memainkan peranan dalam serangan ransomware. Penyerang boleh menggunakan pelayan proksi untuk menyembunyikan alamat IP sebenar mereka, menjadikan aktiviti mereka lebih sukar untuk dikesan. Walau bagaimanapun, pelayan proksi juga boleh menjadi sebahagian daripada pertahanan. Organisasi boleh menggunakan proksi untuk memeriksa trafik masuk untuk mengesan tanda-tanda perisian tebusan dan menyekat kandungan berniat jahat.
