Вирусот „Кербер“ си ги присвојува податоците од вашиот компјутер за на крај да ви ги продаде
Дали знаете што е вирусот ,,Кербер“
Би сакале да ве информираме за еден од последните проблеми на интернет, кој се нарекува Кербер. Аналитичарите успеаа да извлечат примерок од овој вирус и да го тестираат. Резултатите се прилично алармантни, па затоа, ви препорачуваме да го отстраните овој вирус од вашиот компјутер што е можно побргу. За жал, доколку вашиот компјутер е заразен од вирусот, тогаш вирусот ќе заклучи одредени датотеки, а отклучувањето е можно само со „клуч“ кој треба да го купите и по не баш половна цена. Како и да е, сеуште не е познато дали и по плаќањето на цената ќе го добиете клучот. На наше знаење, во моментот нема алатка која би можела да ја пробие енкрипцијата на Кербер.
Истражувањата покажуваат дека вирусот најверојатно се дистрибуира преку таен руски форум. Производителите на овој вирус го користат за да изнудат парични средства од жртвите. Сеуште не се знае со сигурност како се дистрибуира, но може да се претпостави дека најчесто ги користи следните методи: преку спам електронска пошта која содржи самораспакувачка архива, скриен во некој пиратски софтвер, или па промовиран во некоја Java апликација која може да ве излаже да ја повикате при сурфање на интернет. Се на се, можностите се неограничени.
За работите да бидат уште понејасни придонесува фактот дека оваа програма работи само во одредени земји, и доколку се најде на компјутер во некоја од земјите на црната листа, се самоуништува без да нанесе никаква штета. Листа на земји кадешто е познато дека вирусот не работи се Ерменија, Азербејџан, Белорусија, Грузија, Киргистан, Казахстан, Молдавија, Русија, Туркменистан, Таџикистан, Украина и Узбекистан. За жал Македонија не е една од земјите на „црната листа“ на Кербер. Како и да е, доколку компјутерот се наоѓа во земја која не е спомената погоре, тогаш вирусот се инсталира сам себе во папка %AppData%\{RANDOM CLSID}. Исто така и името на извршната датотека се избира по случаен пат.
Откако ќе се инсталира, вирусот ќе предизвика да компјутерот се рестартира во Safe Mode with Networking. После тоа ќе се конфигурира да стартува заедно со Windows, и да се активира на секоја минута. Кербер ќе генерира лажна системска порака “You are about to be logged off” и ќе остане таму се додека не ве присили на некој начин да му дадете дозвола да се рестартира. Тогаш компјутерот ќе стартува нормално и ќе започне процесот на заклучување на податоците.
Вирусот ќе го прескенира компјутерот за одредени придавки. Тој е конфигуриран да не заклучува датотеки кои му се потребни на Windows за нормално работење, бидејќи во тој случај компјутерот нема ни да може да се стартува. Најчесто заклучува датотеки кои содржат лични податоци и информации, како што се „.7z“, „.7zip“, „.accdb“, „.docx“ „.jpg“, „.mp3“, „.mp4“, „.mpg“, „.pdf“, „.ptx“, „.qbb“, „.xlm“, „.xlr“, „.xlsx“, но не е ни наблиску ограничен на наведените датотеки. Се на се има можност за заклучување на околу 380 видови на датотеки. По завршувањето на енкрипцијата ќе го промени името на датотеката и ќе додаде своја придавка. На пример еден Word документ би бил со придавка .docx (document.docx) ќе биде преименуван во Akri78bniU.cerber. Како и да е следните папки и документите во нив остануваат непроменети:
- C:\$recycle.bin\
- C:\$windows.~bt\
- C:\boot\
- C:\drivers\
- C:\program files\
- C:\program files (x86)\
- C:\programdata\
- C:\users\all users\
- C:\windows\
- C:\Users\{User}\AppData\Local
- C:\Users\{User}\AppData\LocalLow
- C:\Users\{User}\AppData\Roaming
- C:\Users\Public\Music
- C:\Users\Public\Pictures\Sample Pictures
- C:\Users\Public\Videos\Sample Videos
- C:\tor browser\
После завршувањето на енкрипцијата (заклучувањето), Кербер ќе креира три датотеки на вашата работна површина (Desktop), а исто така и во секоја папка каде што има заклучени датотеки. Овие три датотеки се DECRYPT MY FILES.html, DECRYPT MY FILES.txt, и DECRYPT MY FILES.vbs. Овие датотеки содржат информација за тоа што се случило во случај да не сте приметиле дека сте заразени. Понатаму овие датотеки содржат врска до Tor decryption service од каде ќе ви биде побарано да платите 1.24 bitcoins ($500 USD) за отклучување на вашите датотеки.
Овие датотеки исто содржат врска до decrypttozxybarc.onion Tor страницата. Оваа страница служи за спроведување на плаќањето и наводно доставување на вашиот клуч. Во теорија, откако ќе ја платите назначената сума, треба да добиете врска за симнување на клучот. Кербер користи AES-256 шифра за енкрипција на вашите датотеки и RSA-576 шифра за заштита на клучот. RSA-576 е прилично слаба метода на енкрипција, но за жал, до сега сеуште не постои ни една алатка за отклучување на веќе оштетените датотеки./ T.T