ویروس باج گیرسربر Cerber چه مخربهایی را ایجاد میکند؟
مثلاً فایل عکسی به نام arefi.jpg به « G0S-4kha_j.cerber3 » تغییر میکند. این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیتکوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) مینماید همچنین به قربانی تذکر میدهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.
نحوه نفوذ سربر ۳
سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ میکند:
الف- آگهیهای تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی میفرستند.
ب- دانلود برنامههای کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد میشود.
ج– ایمیلهای ناشناس، تبلیغاتی و هرزنامهها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل «ورد word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی میشود.
د- فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده میشوند.
سربر ۳ فایلهای مهم حاوی اطلاعات را هدف قرار میدهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص میدهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک میکند و فایلهای این محدوده از کشورها را رمزنگاری نمیکند.
نحوه خرابکاری ویروس سربر ۳
این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامههای اجرایی ویندوز مثلاً autochk.exe تغییر میدهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» میشود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل میکند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایلهای شخصی قربانی میکند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشههای آلوده، با نامهای زیر قرارمیدهد و در آن آلوده شدن و رمزشدن فایلهای قربانی و دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح میدهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جملهای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن میشود «چیزی که مرا نمیکشد، من را قویتر میکند» البته این ترجمه من نویسنده است ولی به نظرم حرصدرآور است. ویروس سربر ۳ با شما صحبت هم میکند، اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده میشود!
هدف اصلی این ویروس رمزکردن محتوای فایلهای مهم و شخصی قربانی است، بطوری که فایلها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایلهای متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار میگیرند عبارتند از:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایلهای دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه بابت هر دستگاه جداگانه باید مبلغ باج پرداخت شود. البته توسط دوستان چندین برنامه مدعی «رمزگشایی کننده فایلهای آلوده به سربر ۳» ارسال شده است که متاسفانه هنوز نتوانستم هیچ فایل رمز شدهایی را توسط آنها به حالت اولیه برگردانم، در صورت نیاز به این فایلهای رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.
درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.
نکته اینکه بسیاری از کسانی که آلوده شدهاند توانستهاند فایلهای بزرگ فیلم، موسیقی و در برخی موارد عکس را با عوض کردن پسوند cerber3 به پسوند اصلی (مثلاً mp4) به حالت اولیه برگردانند، به عبارتی ویروس فقط پسوند فایلهای بزرگ را عوض میکند! بنابراین بهتر است این راه را امتحان کنید.
خربکاری فایلهای شبکه توسط ویروس سربر ۳
ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشهها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری میکند.
نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروسها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتیویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیلهای تبلیغاتی یا ایمیلهای با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامههای آفیس، نظیر ورد و اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه میکنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایلهای خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز RSA-2048 داشته باشد.