[[{"content_id":438150,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"باج‎افزار Cerber با ویژگی اسکریپتی جدید","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"یک کمپین رایانامه‌ای که به توزیع باج‌افزار رمزنگار Cerber کمک می‎کرد، توسط محققان امنیتی Forcepoint ردیابی شد.\r\n\r\n\r\n\r\nبه گزارش واحد متخصصین سایبربان؛ استفاده از پرونده‎های اسکریپت‎ ویندوز (WSF) ها این عملیات را از نمونه‌های قبلی متفاوت می‌کند.\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n (WSF) ها با wscript.exe ویندوز قابل‌اجرا هستند و از هر موتور اسکریپت نویسی در یک پرونده به دست می‌آید. پس از اجرای موفق پرونده، باج‎افزارcerber روی سامانه‌ی قربانی بارگیری خواهد شد.\r\n\r\nطبق پستی در وبلاگ sensecy، باج‌افزار cerber که به‌عنوان یک باج‌افزار به‌عنوان سرویس (RaaS) شناخته می‌شود توسط یک گروه زیرزمینی روسی توزیع‌شده است. نیکولاس گرینین، محقق امنیتی ForcePoint در وبلاگش گفت که این باج‎افزار قبلاً با استفاده از کیت‌های بهره‎برداری یا با استفاده از رایانامه‌ها و پرونده‎های متنی فعال‌شده با ماکرو، توزیع می‌شدند؛ اما این اولین بار است که از WSF ها برای چنین هدفی (توزیع باج‎افزار) استفاده‌شده است.\r\n\r\nمهاجمان، قربانیان را تشویق به بارگیری بدافزار از دو روش می‌کنند. بارگیری یک پرونده ۲ بار-زیپ شده حاوی یک WSF که به رایانامه‌ای مخرب پیوست شده که یک پیوند لغو اشتراک در پایین رایانامه‌ وجود دارد که به همان پرونده‎ی زیپ پیوند داده‌شده است.\r\n\r\nعلاوه بر این، به علت استفاده نامعمول از یک پرونده‎ای که دو بار زیپ شده و حاوی WSF است، با استفاده از محتوای به‌ظاهر واقعی واصلی و یک پیوند لغو اشتراک، ممکن است باج‎افزار بتواند راه‎حل‌های امنیتی کشف کننده باج‎افزار را دور بزند.\r\n\r\n Cerber توانایی رمزنگاری بدون برقراری ارتباط با کارگزارهای C&C را دارد، اما گرینین می‌گوید که Forcepoint ضعفی در اجرای رمزنگاری توسط این باج‎افزار پیداکرده است که با استفاده از آن می‌توان قفل پرونده‎ها را باز کرد.\r\n\r\nگرینین گفت: «اگرچه تعداد قربانیان این باج‎افزار اندک است، اما در حال حاضر عمده‌ی آن‌ها در انگلستان هستند و با گذر زمان احتمالاً تعداد قربانیان نیز افزایش می‌یابد».\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمنبع: \r\n\r\n\r\nnews.asis.io","content_html":"

یک کمپین رایانامه‌ای که به توزیع باج‌افزار رمزنگار Cerber کمک می‎کرد، توسط محققان امنیتی Forcepoint ردیابی شد.<\/h1>\n\n
\n
\n
به گزارش واحد متخصصین سایبربان؛ استفاده از پرونده<\/span>‎<\/span>های اسکریپت<\/span>‎<\/span> ویندوز (<\/span>WSF<\/span>) ها این عملیات را از نمونه‌های قبلی متفاوت می‌کند.<\/span><\/div>\n<\/div>\n<\/div>\n\n
\n
\n
\n
\n

 (WSF<\/span>) ها با wscript.exe<\/span> ویندوز قابل‌اجرا هستند و از هر موتور اسکریپت نویسی در یک پرونده به دست می‌آید. پس از اجرای موفق پرونده، باج‎<\/span>افزارcerber<\/span> روی سامانه‌ی قربانی بارگیری خواهد شد.<\/p>\n\n

طبق پستی در وبلاگ sensecy<\/span>، باج‌افزار cerber<\/span> که به‌عنوان یک باج‌افزار به‌عنوان سرویس (RaaS<\/span>) شناخته می‌شود توسط یک گروه زیرزمینی روسی توزیع‌شده است. نیکولاس گرینین، محقق امنیتی ForcePoint<\/span> در وبلاگش گفت که این باج‎<\/span>افزار قبلاً با استفاده از کیت‌های بهره‎<\/span>برداری یا با استفاده از رایانامه‌ها و پرونده‎<\/span>های متنی فعال‌شده با ماکرو، توزیع می‌شدند؛ اما این اولین بار است که از WSF<\/span> ها برای چنین هدفی (توزیع باج‎<\/span>افزار) استفاده‌شده است.<\/p>\n\n

مهاجمان، قربانیان را تشویق به بارگیری بدافزار از دو روش می‌کنند. بارگیری یک پرونده ۲ بار-زیپ شده حاوی یک WSF<\/span> که به رایانامه‌ای مخرب پیوست شده که یک پیوند لغو اشتراک در پایین رایانامه‌ وجود دارد که به همان پرونده‎<\/span>ی زیپ پیوند داده‌شده است.<\/p>\n\n

علاوه بر این، به علت استفاده نامعمول از یک پرونده‎<\/span>ای که دو بار زیپ شده و حاوی WSF<\/span> است، با استفاده از محتوای به‌ظاهر واقعی واصلی و یک پیوند لغو اشتراک، ممکن است باج‎<\/span>افزار بتواند راه‎<\/span>حل‌های امنیتی کشف کننده باج‎<\/span>افزار را دور بزند.<\/p>\n\n

 Cerber<\/span> توانایی رمزنگاری بدون برقراری ارتباط با کارگزارهای C<\/span>&C<\/span> را دارد، اما گرینین می‌گوید که Forcepoint<\/span> ضعفی در اجرای رمزنگاری توسط این باج‎<\/span>افزار پیداکرده است که با استفاده از آن می‌توان قفل پرونده‎<\/span>ها را باز کرد.<\/p>\n\n

گرینین گفت: «اگرچه تعداد قربانیان این باج‎<\/span>افزار اندک است، اما در حال حاضر عمده‌ی آن‌ها در انگلستان هستند و با گذر زمان احتمالاً تعداد قربانیان نیز افزایش می‌یابد».<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n

\n
\n
منبع: <\/div>\n\n
\n
news.asis.io<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-05-28 09:35:54","content_date_event":"2016-05-28 09:35:54","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-05-28 09:38:13","content_date_register":"2016-05-28 09:38:13","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201605\/41984_1886939142_150_113.webp","300":".\/cache\/184\/attach\/201605\/41984_1886939142_300_225.webp","400":".\/cache\/184\/attach\/201605\/41984_1886939142_320_240.webp","600":".\/cache\/184\/attach\/201605\/41984_1886939142_320_240.webp","900":".\/cache\/184\/attach\/201605\/41984_1886939142_320_240.webp","1200":".\/cache\/184\/attach\/201605\/41984_1886939142_320_240.webp"},"ext":"jpg","file_media":1,"token":1886939142,"files":{"original":{"url":".\/file\/184\/attach\/201605\/41984_1886939142.jpg","width":320,"height":240,"size":0}}}]}]]