Cerber, kurbanın bilgisayarına yüklendikten sonra dosyalarını şifreleyerek erişilemez hale getiren bir tür kötü amaçlı yazılım olan fidye yazılımı ailesidir. Saldırganlar daha sonra şifre çözme anahtarı karşılığında fidye ödemesi talep ediyor.
Cerber Fidye Yazılımının Tarihçesi
Cerber ilk kez Mart 2016'da Rus yeraltı forumlarında satılan bir hizmet olarak vahşi doğada gözlemlendi. Teknik açıdan deneyimsiz suçluların bile fidye yazılımı saldırıları başlatmasına olanak tanıyan 'Hizmet Olarak Fidye Yazılımı' (RaaS) modeli nedeniyle hızla ün kazandı.
Cerber Fidye Yazılımını Anlamak
Cerber, genellikle kötü amaçlı bir e-posta eki, web indirmesi veya yararlanma kiti yoluyla bir bilgisayar sistemine sızarak çalışır. Yürütme sonrasında Cerber, sistemi veri dosyaları için tarar ve güçlü AES-256 şifrelemesini kullanarak şifreleme işlemini başlatır. Dosyalar yeniden adlandırılır ve şifrelenen her dosyaya '.cerber' veya '.cerber2' uzantısı eklenir.
Şifreleme tamamlandıktan sonra, fidye yazılımı genellikle '# DOSYALARIMIN ŞİFRESİ #.txt' veya '.html' olarak adlandırılan bir fidye notu bırakır. Bu not, kurbanı şifreleme hakkında bilgilendirir ve şifre çözme için genellikle Bitcoin cinsinden bir fidye ödemesi talep eder. anahtar.
Cerber Fidye Yazılımı: İçeriden Bir Bakış
Cerber, tespitten kaçınmak, enfeksiyonu en üst düzeye çıkarmak ve analizi engellemek için bir dizi teknik strateji kullanıyor. Bunlar şunları içerir:
-
Anti-Analiz Teknikleri: Cerber, adli analizleri engellemek için kod gizleme ve paketleme gibi çeşitli teknikler kullanır. Bir sanal alanda mı yoksa sanal makinede mi çalıştığını tespit edebilir ve tespit edilmekten kaçınmak için kendisini sonlandırabilir.
-
Kalıcılık Mekanizmaları: Virüs bulaşmış sistemde kalmasını sağlamak için Cerber, kayıt defteri anahtarları, zamanlanmış görevler oluşturarak veya başlangıç klasörlerini kullanarak kalıcılık sağlar.
-
Ağ İletişimi: Enfeksiyon sonrası Cerber, bu sunucular için yeni, engellenmesi zor alan adları oluşturmak için genellikle bir Etki Alanı Oluşturma Algoritması (DGA) kullanarak komuta ve kontrol (C&C) sunucularıyla iletişim kurar.
Cerber Fidye Yazılımının Temel Özellikleri
Cerber fidye yazılımının bazı ayırt edici özellikleri şunlardır:
-
Sesli Uyarı: Cerber, kurbanları dosyalarının şifrelenmiş olduğu konusunda bilgilendirmek için metinden konuşmaya motor kullanma şeklindeki olağandışı özelliğiyle tanınıyor.
-
RaaS Modeli: Cerber, kötü amaçlı yazılım yaratıcılarının kârdan pay almak için fidye yazılımını diğer suçlulara kiraladığı RaaS modeli nedeniyle popülerlik kazandı.
-
Dayanıklılık: C&C iletişimi için DGA kullanımı ve sık sık yapılan güncellemeler, onu karşı önlemlere karşı dayanıklı kılar.
Cerber Fidye Yazılımının Çeşitleri
Cerber, belirlenen çeşitli varyantlarla zaman içinde gelişti. İşte birkaç önemli nokta:
| Varyant | Önemli Özellikler |
|---|---|
| Cerber v1 | İlk sürüm, '# DOSYALARIMIN ŞİFRESİ #.txt' veya '.html' adlı fidye notu |
| Cerber v2 | Anti-AV teknikleri tanıtıldı, hatalar düzeltildi |
| Cerber v3 | V2'ye benzer küçük değişiklikler |
| Cerber v4 | Şifrelenmiş dosyalara rastgele 4 karakterli uzantı eklendi |
| Cerber v5 | Gelişmiş şifreleme hızı, daha büyük kurumsal ağların hedeflenmesi |
| Cerber v6 | Makine öğrenimi tespitini atlamak için anti-analiz tekniği tanıtıldı |
Cerber Fidye Yazılımının Etkisi ve Azaltılması
Cerber'in etkisi, fidye ödemesinden kaynaklanan mali kayıplar ve iş kesintileri de dahil olmak üzere ciddi olabilir. Önemli dosyaları düzenli olarak yedeklemek, güncel antivirüs yazılımını sürdürmek ve çalışanları kimlik avı e-postaları ve şüpheli indirmelerin riskleri konusunda eğitmek önemlidir.
Virüs bulaşması durumunda genellikle fidyeyi ödememeniz önerilir çünkü bu, dosyaların kurtarılmasını garanti etmez ve daha fazla suç faaliyetini teşvik eder.
Benzer Fidye Yazılımlarıyla Karşılaştırmalar
İşte Cerber'in diğer benzer fidye yazılımlarıyla karşılaştırması:
| Fidye yazılımı | Ödeme yöntemi | Şifreleme algoritması | Önemli Özellikler |
|---|---|---|---|
| Cerber | Bitcoin | AES-256 | RaaS, Sesli Uyarı |
| Kilitli | Bitcoin | RSA-2048 | Değişken fidye miktarı |
| CryptoLocker | Bitcoin | RSA-2048 | İlk yaygın fidye yazılımı |
| Ağlamak istiyor | Bitcoin | AES-256, RSA-2048 | MS17-010 güvenlik açığından yararlanıldı |
Fidye Yazılımının Geleceği
Cerber gibi fidye yazılımlarının daha karmaşık hale gelmesi ve gelişmiş kaçırma ve kalıcılık tekniklerinden yararlanması bekleniyor. Makine öğreniminin ve yapay zekanın hem siber güvenlik savunucuları hem de saldırganlar tarafından benimsenmesi muhtemelen geleceğin manzarasını şekillendirecek.
Proxy Sunucuları ve Cerber Fidye Yazılımı
Proxy sunucular fidye yazılımı saldırılarında dolaylı olarak rol oynayabilir. Saldırganlar gerçek IP adreslerini gizlemek için proxy sunucuları kullanabilir, bu da etkinliklerinin izlenmesini zorlaştırabilir. Ancak proxy sunucular da savunmanın bir parçası olabilir. Kuruluşlar, gelen trafiği fidye yazılımı belirtileri açısından incelemek ve kötü amaçlı içeriği engellemek için proxy'ler kullanabilir.
