ویروس باج گیر « سربر ۴ Cerber »

ویروس باج گیر « سربر ۴ Cerber »

متاسفانه باید به اطلاع شما برسانم، با اینکه هنوز مدت زیادی (حدود یکماه) از پخش ویروس باج گیر « سربر ۳ » نگذشته است، نسخه ۴ آن انتشار یافته و در حال آلوده کردن گسترده کامپیوترهای تمام دنیا است. از آنجایی که یکی از اهداف ویروس سربر ۴ از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنم از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.
یکی از تغییراتی که صورت گرفته است تغییر فرمت « متن باجگیری » است. نسخه ۴ ویروس سربر « متن باجگیری » را از فرمت html. به فرمت hta. تغییر داده است.

cerber10

بنابراین اگر در کامپیوتر خود با فایل « README.hta » برخورد کرده‌اید آلوده این ویروس شده‌اید. پسوند hta.  مخفف فایلهای Hypertext Application است که برنامه‌های مخصوص مرورگر مایکروسافت اینترنت اکسپلورر ۵ به بالا هستند. خاصیت آنها برای نویسندگان ویروس کاملاً مشخص است، اینگونه برنامه‌ها امکان گذشتن از بخش امنیتی مرورگرها را دارند و براحتی می‌توانند بخش registery ویندوز را دستکاری کنند.
cerber08

در نسخه ۳ پسوند فایلهای آلوده شده فقط cerber3. بود اما در نوع جدید پسوند فایلهای آلوده به اعداد و حروف هگزا دسیمال متنوع و تصادفی مثل ۹۰۶۷ یا DA3D1. و … تغییر می‌کند.
cerber09
cerber11

 

تغییرات مهم ویروس باجگیر سربر ۴ نسبت به نسخه قدیمی:
– مجهز شدن به «سیستم ضد ردیابی» که مانع شناسایی آن توسط آنتی ویروسها می‌شود.
دور زدن تمام برنامه های ضد باجافزار شناخته شده.
– مجهز شدن به «سیستم ضد عبور» که با شناسایی دستکاری شدن یا از کار افتادن بخشی از فعالیت خود، واکنش نشان می‌دهد.
– استفاده از دامنه‌های «پیازی onion» که امکان ردیابی دامنه اصلی را سخت می‌کند.
– از کار انداختن بانکهای اطلاعاتی جهت رمزنگاری کردن فایلهای اطلاعاتی آنها.
– بیشتر شدن نوع فایلهای مورد حمله که از همه مهمتر فایلهای SQL Server است. این ویروس فایلهای mdf. و ldf. را رمزگذاری می‌کند و بانکهای اطلاعاتی را از کار می‌اندازد.
– و غیره

 

شناسایی ویروس سربر ۴ قبل از خرابکار
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

 

متاسفانه هنوز هیچ راه حلی برای بازگرداندن فایلهای رمز شده توسط این ویروس وجود ندارد. و بهترین روش در امان بودن از آن پیشگیری است. به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز فایلها باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

به اشتراک گذاری این نوشته

Comments (37)

  • امین Reply

    با سلام، سیستم قربانی این ویروس شده است آیا اگر هارد را عوض کنم (تا اطلاعات قبلی برای زمانی که راه حلی پیدا شود در هارد قدیمی نگهداری شود) هارد جدید بعد از نصب امکان آلوده شدن را دارد؟

    ۲۴ مهر, ۱۳۹۵ at ۱۰:۱۹ ب٫ظ
    • ramin Reply

      بهتر است هارد دیسک آلوده (هارد قبلی) را دستگاری نکنید و جدانگهداری کنید. اگر امکان خرید هارد دیسک جدید ندارید به شما توصیه می‌کنم با یک برنامه نظیر Norton Ghost یا Acronis تمام پارتیشن‌های دستگاه خود را بصورت سکتور به سکتور پشتیبان‌گیری نمایید تا در آینده اگر رمزشکن این ویروس آماده شد بتوانید این اطلاعات رمز شده را دوباره بازیابی نموده و سپس رمز آنها را بشکنید.
      توجه داشته باشید با پاک کردن ویندوز، کلید اختصاصی ویروس در کامپیوتر شما حذف می‌شود.
      امکان آلوده شدن ویندوز جدید شما توسط پارتیشن‌های دیگر وجود دارد. حتماً آنتی ویرس خود را به روز نمایید.

      ۲۵ مهر, ۱۳۹۵ at ۴:۳۱ ب٫ظ
  • معماری Reply

    سلام. تمام اسناد آفیس ما بر اساس این ویروس از کار افتاده. اسنادی که به شدت مورد نیاز هستند. هیچ راهی برای برگردوندن وجود نداره؟

    ۱۵ آبان, ۱۳۹۵ at ۵:۰۱ ب٫ظ
    • ramin Reply

      متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست.
      پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

      ۱۸ آبان, ۱۳۹۵ at ۱:۰۰ ق٫ظ
  • زهرا Reply

    با سلام.
    فایلای سیستم منم به cerber3 آلوده شده و اکثرش قابل استفاده نیست.
    پس شما نصب مجدد ویندوز رو صلاح نمیدونین درسته؟
    به نظرتون اگه ویندوز نصب بشه کلید اختصاصی هم پاک میشه وقتی برنامه رمزگشا ساخته بشه، به کلید اختصاصی سیستمم نیاز داره یا فقط هر فایلی به فرمت cerber3 داشته باشم رمزگشایی میکنه؟
    منم اکثر اطلاعاتم از بین رفته و همش نگران این ویروسم.
    نمیدونم چرا فایلام تو دو روز رمزگشایی شد!
    روز دوم دیدم دیگه هیچ فایل .mp3 سالم برام وجود نداره.
    خیلی نگران این باجافزارها هستم که روز به روزم دارن پیشرفته تر میشن.
    تا کی باید وقتی تو اینترنت هستیم همش استرس داشته باشیم و بگیم ای کاش اینترنت نداشتیم همه چیزمون در امن و امان بود؟
    خواهش میکنم کمکم کنین من از نابیناها هستم و خیلی از برنامه های ضد بدافزار که سایتا معرفی کردن برای نابینایان دسترسپذیر نیست!

    ۲۰ آبان, ۱۳۹۵ at ۱۰:۲۷ ق٫ظ
    • ramin Reply

      سلام
      اگر اطلاعات شما خیلی مهم است و قصد ندارید مبلغ باج را بپردازید بهتر است یک هارد جدید بخرید و این هارد قدیمی را نگهداری نمایید تا در آینده وقتی برنامه رمزگشای رایگان آن ساخته شد، بتوانید اطلاعات خود را رمزگشایی نمایید. اگر چنین قصدی دارید بهتر است ویندوز خود را پاک نکنید، با پاک کردن ویندوز کلید اصلی رمز و دسترسی به سرور سازنده ویروس و مشخصات ویروس پاک می‌شود.

      ۲۰ آبان, ۱۳۹۵ at ۱۱:۵۴ ق٫ظ
  • حسین نعمتی Reply

    با سلام خدمت جناب اقای عارفی عزیز
    بنده کامپیوترم دچار حمله ی ویروس باجگیر۴ شد که جناب آقای عارفی توانستند این مشکل بنده را حل کنند .
    با تشکر از ایشان.
    ارادتنمند نعمتی.

    ۱۲ آذر, ۱۳۹۵ at ۱۱:۱۹ ب٫ظ
    • رضا Reply

      سلام
      آقای نعمتی میشه آقای عارفی رو معرفی کنید ماهم بتونیم ازشون کمک بگیرم

      ۲۰ آذر, ۱۳۹۵ at ۱۰:۲۰ ق٫ظ
  • رضا Reply

    سلام، خسته نباشید
    در مورد ویروس سربر کاری تونستن بکنند با فعلا…..

    ۱۴ آذر, ۱۳۹۵ at ۲:۲۴ ب٫ظ
    • ramin Reply

      هنوز راهی وجود ندارد.
      حدود ۱۷ عدد Private Key داریم که با توجه به پسوند و نگارش ویروس سربر ممکن است برای دیگران را هم بازگشایی نمود.

      ۱۸ آذر, ۱۳۹۵ at ۰:۲۸ ق٫ظ
  • رضا Reply

    هرچی اطلاعات داشتم رفتم، کلا دستم به کار نمیره اگه بتونید راهنمایم کنید ممنون میشم

    ۱۴ آذر, ۱۳۹۵ at ۲:۲۵ ب٫ظ
    • ramin Reply

      سلام
      اگر اطلاعات شما خیلی مهم است و میتوانید مبلغ باج حدود ۱ میلیون تومان پرداخت نمایید، امکان بازگشت اطلاعات شما به روز اول هست. ولی اگر قصد ندارید مبلغ باج را بپردازید بهتر است یک هارد جدید بخرید و این هارد قدیمی را نگهداری نمایید تا در آینده وقتی برنامه رمزگشای رایگان آن ساخته شد، بتوانید اطلاعات خود را رمزگشایی نمایید.

      ۱۸ آذر, ۱۳۹۵ at ۰:۳۰ ق٫ظ
  • نوروز Reply

    سلام
    دوستان لپ تاپ من هم همین ویروس رو حدوده یک هفته پیش گرفت. سه روز اول به چند موسسه مراجعه کردم. حتی مهندسین مرکز کامپیوتر رازی هم نتونستند فایل ها رو برگردونن. تا اینکه این پستو دیدم و به اقای عارفی مراجعه کردم. فایل ها بازگردانی شد. از زحماتشون مچکرم.
    ریحانه نوروز

    ۳ دی, ۱۳۹۵ at ۰:۱۷ ق٫ظ
    • مائده Reply

      سلام میشه شماره آقای عرفانیو برام بفرستید
      لپ تاپ من این مشکل داره پسوند عکسام تغییر کرده
      ممنون میشم شمارشو بدید

      ۵ دی, ۱۳۹۵ at ۹:۰۰ ب٫ظ
      • ramin Reply

        سلام
        بعد از ظهر ها فروشگاه هستم با این شماره تماس بگیرید:
        ۸۸۹۳۲۴۴۷-۹

        ۸ دی, ۱۳۹۵ at ۳:۱۳ ب٫ظ
    • مائده Reply

      سلام میشه شماره تماس یا ایمیل آقای عارفی رو لطف کنید ممنون میشم ازتون

      ۱۵ دی, ۱۳۹۵ at ۳:۰۹ ب٫ظ
      • ramin Reply

        سلام
        لطفا بعد از ظهرها از ساعت ۱٫۵ تا ۶ تماس بگیرید.
        ۸۸۹۳۲۴۴۵-۷
        ۰۹۱۲۲۱۶۸۷۲۳

        ۱۵ دی, ۱۳۹۵ at ۶:۵۳ ب٫ظ
  • مائده Reply

    سلام میشه شماره آقای عرفانیو برام بفرستید
    لپ تاپ من این مشکل داره پسوند عکسام تغییر کرده
    ممنون میشم شمارشو بدید

    ۵ دی, ۱۳۹۵ at ۹:۰۰ ب٫ظ
    • ramin Reply

      سلام
      بعد از ظهر ها فروشگاه هستم با این شماره تماس بگیرید:
      ۸۸۹۳۲۴۴۷-۹

      ۸ دی, ۱۳۹۵ at ۳:۱۴ ب٫ظ
  • حمید Reply

    سلام
    جناب آقای عارفی اگه امکان داره Private Key ها را برای بنده هم ارسال کنین ان شاء ا.. راهگشا باشه بتونم فایل هام را برگردونم.

    ۶ دی, ۱۳۹۵ at ۰:۴۲ ق٫ظ
    • ramin Reply

      سلام،
      فایل زیر کلید اختصاصی سربر ۴ می باشد، بعید می دانم روی دستگاه شما کارکند ولی چون درخواست دادید براتون ارسال کردم. انشالله کاربرد داشته باشد.
      نمونه کلید ویروس باجگیر سربر ۴

      باید آنرا کنار فایل decryptor.exe بگذارید.

      ۸ دی, ۱۳۹۵ at ۶:۵۷ ب٫ظ
  • sana Reply

    با سلام فایل decryptor.exe را چطور پیدا کنیم؟

    ۱۰ دی, ۱۳۹۵ at ۱۰:۱۵ ب٫ظ
    • ramin Reply

      در صورت نیاز به فایل رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنرا برایتان ارسال نمایم. از آنجایی که ممکن است باعث آلودگی شود نخواستم بصورت عمومی در اختیار هم قرار گیرد (منظورم کامپیوترهای سالم است).
      توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.

      ۱۲ دی, ۱۳۹۵ at ۴:۵۷ ق٫ظ
  • sana Reply

    سلام ببخشید چند سوال دیگه هم دارم .سیستم من امروزآلوده شده و چون فرمت hta داره با توجه به مطلب شما سربر ۴ باید باشه. مبلغ باج هم حدود ۱۰۹ دلار تعیین کرده.البته درایو c که ویندوز در آن هست کاملا سالم مانده نمیدونم چرا ؟ ولی درایو های دیگه فایل ها رمز گذاری شده اند ولی باز هم بعضی فایل ها سالم مانده اند
    شما نوشتید نباید ویروس را پاک کرد آیا ممکنه این ویروس باز هم دست به کار بشه و فایل های بیشتری را رمز کنه یا فقط یکباراین کار رو انجام میده؟
    تاکید کردید اطلاعات رو روی dvd کپی کنیم.مزیت دی وی دی نسبت به مثلا فلش چیه؟ممکنه خود دی وی دی هم آلوده بشه؟

    ۱۰ دی, ۱۳۹۵ at ۱۰:۴۳ ب٫ظ
    • ramin Reply

      سلام
      اگر درایو C شما سالم است شما یک کاربر ادمین دارید و یک کاربر معمولی، دسترسی کاربر معمولی به درایو C محدود شده است و وقتی ویروس را گرفته اید بعلت عدم دسترسی نتوانسته است آنرا دستکاری نماید و خرابکاری خود را در درایوهای دیگر انجام داده است.
      در مورد ویروس سربر فقط یکبار برای هر دستگاه اتفاق می افتد، ولی قابلیت آلوده سازی کامپیوترهای دیگر را دارد.
      بعد از ذخیره(رایت) اطلاعات در DVD امکان دستکاری فایلهای داخل آن وجود ندارد، بعبارتی حافظه فقط خواندنی می باشد، پس امکان ندارد اطلاعات آن توسط ویروس از بین برود یا رمزنگاری شود. برخلاف DVD حافظه های فلش و هارددیسکهای اکسترنال همیشه قابلیت نوشتن را دارند و نمی توان جلوی خرابکاری ویروس در آنها را گرفت.
      توجه داشته باشید اگر شما اطلاعات حاوی ویروس را به DVD کپی نمایید، آن DVD قابلیت آلوده سازی دیگر کامپیوتر ها را دارد.

      ۱۲ دی, ۱۳۹۵ at ۵:۱۷ ق٫ظ
  • sana Reply

    آقای مهندس چطور مطمئن بشیم ویروس cerber از سیستم پاک شده؟

    ۱۲ دی, ۱۳۹۵ at ۱۰:۲۰ ب٫ظ
    • ramin Reply

      همه آنتی ویروسها در پاک کردن ویروس موفق هستند، یکی از آنها را نصب کنید.
      آنتی ویروسها فقط نمی توانند اطلاعات رمز شده را به حالت اول برگردانند.

      ۱۳ دی, ۱۳۹۵ at ۵:۱۰ ب٫ظ
  • محمد آقاجانی Reply

    با سلام
    برای بنده یک ایمیل انگلیسی با موضوع درخواست قیمت ارسال شد که حاوی یک فایل با فرمت zip بود و من این فایل رو دانلود کردم. در این فایل یک فایل html موجود بود که با کلیک بر روی اون صفحه ایمیل sign in سایت یاهو باز شد. آیا این فایل احتمال داره که همین ویروس باشه؟ ممنون

    ۱۶ دی, ۱۳۹۵ at ۱۲:۳۰ ب٫ظ
    • ramin Reply

      سلام
      ممکن است نوع دیگری باشد، یا برای هک ایمیل شما اقدام کرده باشند.
      در هر صورت مراقب باشید.

      ۱۷ دی, ۱۳۹۵ at ۱۱:۲۱ ب٫ظ
  • فریور Reply

    سلام
    فایلهای عکس و فیلمها به پسوند .badnewsfile تبدیل شدن و اسمها رمز گذاری شدن پیغام باج هم فقط مبلغ خواسته زمان نداره لطفا راهنمایی کنید.

    ۱۷ دی, ۱۳۹۵ at ۸:۱۲ ق٫ظ
  • zohre Reply

    سلام . سیستمم به cerber ransomware آلوده شده تموم درایورهام که اطلاعات مهم کاری توش بود قفل شده ولی فایل های روی دسکتاپ سالم هستند تموم نرم افزارهام کار میکنن ولی بک آپ های هلوم پاک شده و هلو هم اجرا نمیشه مشکل در ارتباط sql server میزنه و نوع فایل ها به B179 تغییر کرده و اسم فایل ها به صورت انگلیسی و اعداد شده حتی سیستم رو دادم شرکتی کلی روش کار کرد ولی نتونست مشکل رو برطرف کنه من واقعا تموم اظلاعاتم نابود شده چه راه حلی دارین ترو خدا کمکم کنین حاضرم هر کاری بکنم اگه مبلغ رو پرداخت کنم رمزگشا رو بهم میده؟

    ۲۲ دی, ۱۳۹۵ at ۱۱:۱۸ ق٫ظ
    • ramin Reply

      سلام
      در مورد ویروس سربر، در حال حاضر به جز پرداخت باج راهی نیست.
      اگر امکان پرداخت باج را که در مورد این ویروس بین ۵۰۰ هزار تومان تا ۱٫۵ میلیون تومان است را ندارید باید صبر کنید و منتظر بمانید تا رمزگشای آن ساخت شود.
      در مورد ویروس globe رمز گشا ساخته شده است بنابراین باید امیدوار بود برای ویروس سربر نیز رمزگشا ساخته شود.

      ۲۳ دی, ۱۳۹۵ at ۴:۱۹ ق٫ظ
  • مسعود Reply

    با سلام سیستم بنده هم الوده ی این ویروس شده و فقط روی عکس ها تاثییر گذاشته,تمام فرمتشون عوض شده به README.EXE میشه کمکم کنید چطور پاک کنم ویروس رو و عکسام رو برگردونم ب فرمت اصلی؟

    ۲۷ دی, ۱۳۹۵ at ۹:۰۰ ب٫ظ
    • ramin Reply

      سلام
      در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.

      ۲۷ دی, ۱۳۹۵ at ۱۱:۰۲ ب٫ظ
  • وحید Reply

    سلام بر همگی
    اینجانب کارشناس نرم افزار هستم سیستم خودم هم به این مشکل برخورد کرد خیلی با دوستان و اساتید خود تلاش کردیم برای رمز گشایی
    بالاخره تونستیم فقط فالهایی با پسوند docوtxtوpdfرو به حالت اول برگردونیم
    اگه کسی مایل باشه با هزینه خیلی پایین (فقط هزار تومن برای هر یک مگابایت) میتونم فایلهای متنی رو به حالت اول برگردونم

    ۳۰ دی, ۱۳۹۵ at ۸:۲۴ ب٫ظ
    • ramin Reply

      جهت اطمینان از صحت توانایی شما در رمزگشایی این گونه فایلها، لازم است تعدادی فایل رمز شده را برای شما بفرستم. در صورت موفقیت شما، آدرس ایمیل شما به دیگران اعلام میشود.
      در ضمن باج این نرم افزار حدود ۵۰۰ هزار تومان تا ۱٫۵ میلیون تومان هست و کلیه اطلاعات به حالت اولیه بر می گردد، و شما برای هر مگابایت ۱۰۰۰ تومان تقاضا می کنید که در خیلی موارد بیشتر از مبلغ باج میشود. خیلی خوب خواهد شد که برنامه خود را بصورت رایگان منتشر کنید تا مشکل مردم حل شود، مطمئن باشید با دعای مردم عاقبت به خیر می شوید.

      ۱ بهمن, ۱۳۹۵ at ۱:۳۲ ق٫ظ

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload CAPTCHA.